Bonjour à toutes et à tous,
je viens ici pour vous poser une question qui ressemble énormément à du SQL. Je dirais même qu'on pourrait assimiler cela à un join/une subquery.
Je suis récemment tombé sur cela https://www.elastic.co/guide/en/elasticsearch/guide/current/application-joins.html, sauf que j'ai deux problèmes :
- Je ne sais pas comment lancer deux requêtes l'une après l'autre avec Sense via le plugin Marvel (car il faudrait pouvoir lancer les deux l'une après l'autre)
- L'utilisation du [1] permet de récupérer les ID des documents requêter de ce que j'ai compris (donc le _id), mais tout d'abord que signifie ce [1] ? (1ère requête si on en a plus d'une ou bien ?), et est-il possible de récupérer autre chose ? (par exemple les valeurs d'un champ dans la 1ère requête autre que l'ID)
Pour mieux expliquer le contexte, je voudrais pouvoir obtenir toutes les IP sources ayant réalisé un hit sur un port TCP précis, et ensuite requêter à nouveau la totalité des données pour obtenir les ports et protocoles pour lesquels ces mêmes adresses sont des IP de destination donc utiliser le résultat de la 1ère requête pour requêter sur un autre champ !
Voilà, je ne sais pas si ce que je demande est possible, mais il vaut mieux toujours demander.
En l'attente d'un retour de votre part, je vous remercie 
Cordialement, Jérémy MEYER.