我知道ES并不严格支持它,但是在许多日志故障排除方案中,我需要获取具有相同请求ID(又称为关联ID)的先前(或第一个)文档。
在关系数据库中,我只需加入即可。当然,在ES中,不支持联接或任何子查询。我可能会在ES外部编写脚本,但我正在寻找一种快捷方式(可以在Kibana UI中内置某些功能,也可以使用现成的脚本或其他一些新颖的方式)。
是否有一种方法可以使用实现上述目标的Kibana UI(需要的资源非常昂贵)?如果没有,是否有现成的工具?
在XY问题注释器进入之前-由于日志记录本质上是一个时间序列,因此将延迟将日志行推入ES直到知道所有信息并创建汇总之前将非常困难。甚至回过头来看每条日志行以“以防万一需要”包括以前所有日志行中的信息,这也非常昂贵,并且会导致日志记录堆栈变得太慢而无法运行。
是的-ELK需要在每个日志行中维护一个文档(或多或少),而我有时需要能够追溯并显示相关日志中的汇总行。