尤其是,我们不断有大量的日志消息,其格式如下:
Jul 23 09:24:16 mmr mmr-core[5147]: Aweg3AOMTs_1563866656876839.mt
Jul 23 09:24:18 mmr mmr-core[5210]: Aweg3AOMTs_1563866656876839.0.dn
有不同的ID号(1563866656876839)和两个可能的后缀(mt / dn)。
我们用logstash解析它,并将这些消息存储在一个索引中。
当带有mt后缀的ID号在1小时内获得dn后缀时,表示GOOD,并且它应该获得一个具有批准值的新字段状态。如果不是,则该字段值应被拒登。
所以最后不需要新的索引:D但是我仍然很好奇如何实现这一目标,以及是否有可能根据时间条件或怎么说来创建和填充文档中的新字段...
谢谢您的回复!
答案 0 :(得分:0)
是的,可以根据时间条件在文档中创建并填写新字段。
首先,您必须创建三个task_id作为您的ID的aggregate过滤器。一个过滤器用于创建地图,第二个过滤器用于将地图作为事件提交。在上一个过滤器中,如果出现超时情况,应该有timeout选项。