elasticsearch 如何将日志合并为单个事件，即使日志不是紧随其后

我想将日志合并成一个事件，就像多行一样，即使日志不是紧挨着的

如中所示，我希望将具有相同标记的日志组合在一起，而不是像多行那样将它们组合到上一个或下一个

---

如何做到这一点？

您如何知道何时合并/刷新事件？多行具有流\u标识，如果启用“启用\u刷新”，则可能会使用该标识。您将遇到的基本问题是知道事件何时完成，以便将它们从filter.Hmmm中推出。所以你是说，因为我们不知道事件何时完成，所以没有办法合并彼此不正确的日志？基本上-在多行插件上启用\u flush被标记为未准备好生产-但它将定期清除那些从未获得下一个事件的事件。如果你知道你什么时候完成了，那么你完全有可能编写一个自定义插件来收集一些关键点，并在你到达终点时刷新。