假设我在大约60秒内遇到10次登录失败,我不想看到所有10个事件,但只有一个说有10个登录尝试失败。
如何(如果可能的话)我可以将logstash中相同事件的数量汇总到一个新事件中吗?
答案 0 :(得分:3)
使用metrics过滤器。
它将允许您每隔XX秒(可配置)刷新一个度量事件,该事件可以包含各种有价值的度量(例如:持续时间,速率和计数的百分位数)。您可以使用过滤器并指定您希望每60秒刷新一次事件,并记录失败的登录尝试次数。无论计数是高于还是低于10,都会刷新事件,但您可以查询弹性搜索,无论是手动搜索还是使用Kibana,仅查看计数高于10的度量事件。