elasticsearch 索引内的Elasticsearch聚合,elasticsearch,logstash,kibana,elasticsearch,Logstash,Kibana" /> elasticsearch 索引内的Elasticsearch聚合,elasticsearch,logstash,kibana,elasticsearch,Logstash,Kibana" />
Fatal编程技术网

elasticsearch 索引内的Elasticsearch聚合

logstash kibana

elasticsearch 索引内的Elasticsearch聚合,elasticsearch,logstash,kibana,elasticsearch,Logstash,Kibana,新的弹性堆栈用户在这里!在Logstash、Elasticsearch和Kibana 5.0.0中,我希望从位于同一索引中的以下文档类型中形成时间线信息: {id:"...", event:"event1", type:"queued", time:"..."} {id:"...", event:"event1", type:"start", time:"..."} {id:"...", event:"event1", type:"stop", time:"..."} 在这里,我想按照以下思路

新的弹性堆栈用户在这里!在Logstash、Elasticsearch和Kibana 5.0.0中,我希望从位于同一索引中的以下文档类型中形成时间线信息:

{id:"...", event:"event1", type:"queued", time:"..."}
{id:"...", event:"event1", type:"start", time:"..."}
{id:"...", event:"event1", type:"stop", time:"..."}
在这里,我想按照以下思路制作一些东西:

{..., event:"event1", timeInQueue:"...", timeActive:"..."}
基于时间戳的增量

Kibana脚本字段可以执行计算;但是,我不知道该把它放在哪里。存储在前面提到的事件日志上似乎是不自然的,为这个聚合创建一个新的索引似乎有些过分

完成此聚合的首选方法是什么?

此答案可能会有所帮助:(提示:使用
聚合
日志存储筛选器)我的日志存储输入计划每分钟运行一次,因此我无法保证所有三种事件类型(排队、启动、停止)都将同时通过管道的筛选器进行处理。要使此聚合起作用,所有相关日志必须在相同的筛选过程中可用,对吗?否,
aggregate
筛选器将保存数据,只要您定义。