1、聚合某个索引中HTTP状态码为5XX的域名。
GET logstash-access-2018.12.28/_search
{
"query": {
"match": {
"status": "500 502 503 504"
}
},
"aggs": {
"status_5xx": {
"terms": {
"field": "http_host.keyword",
"size": 10
}
}
}
,
"size": 0
}