lscount

弃用

不推荐使用 LogStash 查询函数,仅用于 ElasticSearch 的 v1.x. 如果你正在运行 ElasticSearch 的 v2 或更高版本,那么你应该参考 Elastic Query 函数。

注意事项

  • 键串中目前没有转义,所以如果你的正则表达式需要逗号或双引号,那你就不走运了。
  • keystring 中的正则表达式应用了两次。首先作为弹性的正则表达式过滤器,然后作为 go regexp 到结果的键。这是因为该值可能是一个数组,你将获得应该过滤的组。这意味着正则表达式语言是 golang 正则表达式规范和弹性正则表达式规范的交集。弹性使用 lucene 风格的正则表达式。这意味着 regex 总是被锚定(参见文档)。
  • 如果 Elastic 中的字段值的类型(也就是映射)是一个数字,那么正则表达式将不会充当正则表达式。你唯一能做的就是数字的精确匹配,即“eventlogid:1234”。建议任何标识符都应该存储为字符串,因为它们不是数字,即使它们完全由数字组成。
  • 使用此信息的警报可能想要设置 ignoreUnknown,因为只有在时间范围内出现的才会出现在结果中