我们采用了ELK堆栈的集中式日志记录。但是,我对如何根据内容的子字符串(或正则表达式或更复杂的处理)对邮件进行分组感到茫然。
示例:
等等。
我希望能够对回答特定过滤器的消息进行分组(例如“无法合并”)但是基于正则表达式(例如第一个对象id - “对象id [ (。*?)]“或类似的东西”,所以我会得到对象X无法合并到任何其他对象的次数。
这可能与Kibana / ES / Lucene一起使用吗?理想情况下,我想通过Kibana UI执行此操作,但我几乎可以轻松使用查询语言。我不能做的是为每个这样的查询定义计算/脚本字段。