Logstash“已过去”过滤器 - 双“开始”事件

时间:2016-04-14 13:23:32

标签: logstash elastic-stack

如果我定义我的elapsed过滤器,请执行以下操作:

elapsed {
  start_tag => "task-started"
  end_tag => "task-terminated"
  unique_id_field => "task-id"
  timeout => 1200
  new_event_on_match => true
}

如果有2个连续的事件start_tagtask-id相同,会怎样?

我可以想到几个可能性:

  • 开始时间将重置为第二个“开始”事件时间
  • 第一个事件将被视为错误,因为它没有获得“结束”事件,因此将发出错误事件,然后将正常处理第二个事件。
  • 第二个“开始”事件将被忽略

那是哪一个?

1 个答案:

答案 0 :(得分:1)

经过的过滤器会收集所有“开始事件”。如果两个或更多个“开始事件”具有相同的ID,则只记录第一个,其他的被丢弃。

相关问题
最新问题