新的Elastic Stack用户在这里!在Logstash,Elasticsearch和Kibana 5.0.0中工作,我希望从位于同一索引中的以下文档类型中形成时间线信息:
{id:"...", event:"event1", type:"queued", time:"..."}
{id:"...", event:"event1", type:"start", time:"..."}
{id:"...", event:"event1", type:"stop", time:"..."}
我希望按照以下方式制作:
{..., event:"event1", timeInQueue:"...", timeActive:"..."}
基于时间戳的增量。
Kibana脚本字段可以执行计算;但是,我不确定在哪里存放它。存储上述事件日志似乎不自然,并且为此聚合创建新索引似乎有点过分。
完成此聚合的首选方法是什么?