フィルタはboolと一緒に使用できません

Question

フィルタでelasticsearchの結果を収集しようとしています。フィルターを追加すると予期せぬ結果が得られます。 （「Exception」または「Error」という用語に一致する結果しか期待していません）。

おそらく、間違った場所にフィルタを配置しましたか？

{ 
    "query": { 
    "bool": { 
     "should": [ 
     { 
      "match": { 
      "message": "error" 
      } 
     }, 
     { 
      "match": { 
      "message": "exception" 
      } 
     } 
     ], 
     "must_not": { 
     "match": { 
      "message": "io.vertx.spi.cluster.zookeeper.ZookeeperClusterManager" 
     } 
     }, 
     "filter": [ 
     { 
      "range": { 
      "@timestamp": { 
       "gt": "now-1000m" 
      } 
      } 
     } 
     ] 
    } 
    } 
} 

Answer 1

問題があります。

は

句（クエリー）は、マッチングドキュメントに表示されなければなりません。 boolクエリがクエリコンテキスト内にあり、mustまたはfilter句を持つ場合、shouldクエリが一致しない場合でもドキュメントはboolクエリと一致します。この場合、これらの節はスコアに影響を及ぼすためにのみ使用されます。 boolクエリがフィルタコンテキストであるか、またはmustまたはfilterのいずれも持たない場合、少なくとも1つのshouldクエリは、boolクエリと一致するためにドキュメントと一致する必要があります。この動作は、minimum_should_matchパラメータの設定によって明示的に制御される可能性があります。