我有程序通过 rsyslog 将日志发送到 graylog 并将它们保存在弹性搜索中。我使用弹性搜索 1.7。
像这样由 rsyslog 发送的消息
{"t" : [
{"id":10,"x":12,"y":15,"z":8},
{"id":12,"x":8,"y":6,"z":1},
{"id":10,"x":2,"y":1,"z":6}
]}
我想为所有具有相同 id 的消息获取 x、y、z 的总和。我使用什么查询?
我使用了这个查询,但工作不正确。
{
"aggs" : {
"t" : {
"nested" : {
"path" : "t"
},
"aggs" : {
"sum_x" : { "sum" : { "field" : "t.x" } }
}
}
}
}