elasticsearch Kibana-如何选择具有相同关联id的第一个日志行？

我知道ES不严格支持它，但在许多日志故障排除场景中，我需要获得具有相同请求id（也称为关联id）的以前（或第一个）文档

在关系数据库中，我会简单地加入。当然，在ES中，不支持联接或任何类型的子查询。我可以在ES之外编写脚本，但我正在寻找一种快捷方式（可以是内置在Kibana UI中的、现成的脚本，也可以是其他创造性的方式）

有没有一种方法可以使用Kibana UI（尽可能昂贵的资源）来实现上述目标？如果没有，是否有现成的工具

在XY问题评论者介入之前——由于日志记录本质上是一个时间序列，因此很难延迟将日志行推送到ES中，直到所有信息都已知并创建一个聚合。即使回过头来查看每个日志行，以包含来自所有以前日志行的信息，“以备不时之需”，也会导致日志堆栈变得太慢，无法正常工作

因此，是的-ELK需要为每个日志行（或多或少）维护一个文档，而我有时需要能够追溯并显示相关的日志行上的聚合