хотя ажур, конечно, говно

ыхыхыхы

А есть ли тут специалисты по ELK?)

в чем вопрос?

Задача такая - у меня есть ELK с логами nginx, нас там интересуют поля visitor_ip (ip юзера) и  server_name (домен на который пришел юзер). Хочется найти все IP (visitor_ip) которые посещали все домены (server_name)

Я так понимаю ажур прям оч плохой))

visitor_ip и server_name уже в elastic?

да

https://github.com/flant/loghouse
:)

да, я уже понял что пора переезжать) хотя бы в Clickhouse

но текущие логи уже лежат там....

экспорт-импорт )

если до завтра не придумаю, займусь экспортом и импортом ага))

так очевидно ж! Сегодня отдыхаешь - завтра эспорт-импорт ))))

))) чувствуется рука мастера

а что именно придумать? нужен distinct по visitor_ip и дальше bool query где каждый элемент server_name=<domain>

ну так )

однако) sub subcribers порадовали и как базу апгрейдить/мигрировать)

пока все что я смог придумать это вот это

GET /az-nginx-2020.04.21/_search
{
  "query": {
    "bool": {
      "must": [
        {
          "bool": {
            "should": [
              {
                "match_phrase": {
                  "server_name": "domain1.com"
                }
              },
              {
                "match_phrase": {
                  "server_name": "domain2.com"
                }
              }
            ],
            "minimum_should_match": 1
          }
        }
      ],
      "filter": [
        {
          "match_all": {}
        }
      ],
      "should": [],
      "must_not": []
    }
  },
  "size": 0,
  "aggs": {
      "Group1": {
          "terms": {
              "field": "server_name"
          },
          "aggs": {
              "Group2": {
                  "terms": {
                      "field": "visitor_ip"
                  }
              }
          }
      }
  }
}

а почему?