Kibana是否支持按相似性OOB分组日志消息?
鉴于我知道带有变量的特定日志消息,我可以使用grok查询。问题是我想要一组未指定数量的消息“种类”。
所以对于看起来像这样的日志:
[error] entity foo with id 2 is misisng
[error] cant process row with id 46
[error] entity frob with id 16 is misisng
[error] cant process row with id 95
我希望输出产生两个组,一个用于缺少id的'kind'实体,另一个用于具有id的'kind'cant process行。
我正在使用Kibana 5.1.1