したがって、ホスト A からホスト B への ping データを含むインデックスがあり、データは次のようになります。
{
"@version" => "1",
"@timestamp" => "2014-07-17T21:17:34.030Z",
"host" => "host_a",
"to_host" => "host_b",
"value" => "25.6",
"from_host" => "host_a",
"stat_type" => "ping"
}
目標は、ping の値 (上記の「値」) の 90 パーセンタイル データも、移動ウィンドウ (過去 1 時間、最終日など) に保存することです。
集計でこれを実行できることはわかっていますが、私の質問は次のとおりです。
ElasticSearch は、集計 (またはクエリ) の出力をインデックスに自動的に追加する方法をサポートしていますか?
おそらく、出力を取得してフィールドを調整し、ヘルパー アプリケーションを使用してデータを元に戻すことができることはわかっていますが、これが ES のみを使用して可能かどうかについて興味がありました。
同等の SQL の例を使用するには、次のようなものを探します。
create table agg
select id, count(*) as counts
from data
group by id;