在Elasticsearch中将开始和停止事件之间的消息分组到不同的桶中

4zcjmb1e 于 2023-03-29 发布在 ElasticSearch

关注(0)|答案(1)|浏览(102)

我无法找到一种方法来聚合消息到桶的方式，我想与Elasticsearch。
我有一个日志消息，其中有一个字段指示它是START还是STOP消息和一个时间戳。现在我想将连续的START和STOP消息之间的消息聚合到像这样的桶中：

START msg -
msg       |
msg       | Bucket 1
msg       |
STOP msg  -
START msg -
msg       |
msg       | Bucket 2
msg       |
STOP msg  -

我对Elasticsearch相当陌生，但我已经阅读了关于Bucket聚合和Pipeline聚合的文档，我不知道如何使用START和STOP消息的时间戳来选择需要进入bucket的消息。

1条答案

你可以使用filebeat来合并你的多行数据并将其导入elasticsearch。
请检查：https://www.elastic.co/guide/en/beats/filebeat/current/multiline-examples.html