我通过流记录每个用户交互,并在每次有事件时将一行放入elasticsearch。该领域是“前夕”。并且事件已经开始','取消','已完成','失败'。
'开始'永远是第一个动作,而另一个是最后一个动作
在Kibana中,我想要绘制未导致“已取消”,“已完成”或“失败”的启动次数,等等( count(event:started) - count(NOT event:completed))。那可能吗?不是,解决方法是什么?
答案 0 :(得分:0)
我有类似的开始/结束事件。为了关联它们,我有一个外部进程来排列它们(基于公共数据),然后用另一个的_id标记每个进程。
然后很容易分辨出哪些没有结束等等。
我们将此用于文件传输("哪些传输目前正在进行中?")和snmptrap数据("哪些陷阱已被关闭?"),等等。
查看库(elasticsearch-py和dsl是好的)。