elasticsearch Kibana减去2个指数的值

我在kibana 4中有两个指数：

第一个索引是基于事件的时间（创建日期）

第二个索引是基于事件的时间（截止日期）

这两个都是日期值，我想创建一个查询，它将返回创建日期（今天）的文档总数-关闭日期（今天）的文档总数

---

如果不可能，如果我在一个索引中有两个字段，是否可能？

是的，您需要在同一索引中有两个日期值，以便您可以使用

Kibana

中的字段执行减法。您可以简单地将脚本设置为：

doc.['date_created'].value - doc.['date_closed'].value

----------------^----------------------------------------^确保给出准确的字段名

然后，您可以使用这个脚本化字段作为日期直方图来显示检索到的日期范围内的文档总数

---

希望这有帮助

@Benc它起作用了吗？您是否获得了所需的输出？我尝试了以下名为test的脚本字段：doc['Entities.Ticket.Date_Created.#text'].value-doc['Entities.Ticket.Date_Closed.#text']但是，如果我筛选：Unique Count:'Entities.Ticket.Date_Created.#text'=43 Unique Count:'Entities.Ticket.Date_Closed.#text'=6 Unique Count:'test'=43是否缺少某些内容？如果我切换“已创建”和“已关闭”轮，我仍然会得到43唯一计数您创建的脚本字段是多少？我无法理解上述评论的后半部分。如果你能再详细一点？你是如何尝试过滤Kibana的？预期的输出是什么？对不起，让我从头开始，我正在尝试创建一个仪表板。目前我有两个指标可视化：1）Date_Created-Total docs，其中this=today 2）Date_Closed-Total docs，其中this=today，我现在尝试创建第三个可视化指标，其中输出为1-2。那么如果：1=432=6337这有意义吗？唯一计数是我试图创建小部件筛选。那么第三个度量是否显示了正确的值（1-2）？您使用脚本字段是为了获得第三个度量中的计数，对吗？请显示用于脚本字段的确切脚本！