标签: logstash aggregate logstash-grok logstash-configuration
我有记录消息,我希望聚合看这样的事情:
我遗漏了对问题不重要的一切(例如所有邮件中的公共ID)
开始1 2 3 开始 b C
开始1
2
3
开始
b
C
我想聚合到开始之间的所有消息 - >开始1 2 3并开始一个b c
aggregate filter documentation表示当没有结束事件时,应该使用超时。我的问题是超时是不够的,因为Start 1和Start a可能几乎同时发生,因此会聚合到 - > start123abc。
有没有办法去关闭"当新消息以start开头时的前一个聚合?