标签: elasticsearch logstash elastic-stack
假设我在操作前后有日志,如下所示:
[XXXX]操作A已开始 [XXXX]操作A已完成
假设XXXX对于每个执行都是唯一的,那么现在我想找出已经开始但尚未完成的执行。这意味着我需要找出具有“开始”日志但没有“完成”日志的XXXX。我该如何实现?
答案 0 :(得分:1)
您可以使用elapsed filter来匹配开始/结束事件。过滤器使您可以定义结束事件的时间段,如果未收到结束事件,它将创建过期事件。