ElasticSearch Watcherでフィルタリングされた範囲クエリ

Question

私は、ElasticSearch（v5.3）用のWatcher入力クエリを書く際に助けが必要です。私の要件は、Apacheのステータスコードが500以上になると警告を発することです。ここで

Index name: Apache-access-log Field name: status_code Kibana Discover query: status_code: [500 TO 600] Time period: Last 15 minutes.

私が使用しているウォッチャー入力クエリですが、期待どおりに働いていませんでした。

{ 
    "search": { 
    "request": { 
     "index": [ 
     "Apache-access-log" 
     ], 
     "body": { 
     "query": { 
      "filtered": { 
      "query": { 
       "query_string": { 
       "query": "status_code: 500", 
       } 
      }, 
      "filter": { 
       "range": { 
       "@timestamp": { 
        "gte": "now-15m", 
        "lte": "now" 
       } 
       } 
      } 
      } 
     } 
     } 
    } 
    } 
} 

Answer 1

Elasticsearch 5.5ではフィルタ処理されたクエリがサポートされなくなりました。 次の条件を満たす必要があります： QUERY_STRING： クエリ： 'STATUS_CODE：[500：600]' フィルタ： 範囲： @timestamp：...

必ず試すフィルタ

ブール値でブールクエリを使用しますウォッチャーに入れる前に、スタンドアロンクエリとして最初にクエリを実行します。時間がある場合は、私に強くお勧めしますthis blog post時計の書き方とデバッグ方法