Logstash “elapsed” 过滤器 - 双“start”事件

【问题标题】:Logstash “elapsed” filter - double "start" eventLogstash “elapsed” 过滤器 - 双“start”事件
【发布时间】:2017-03-09 17:39:45
【问题描述】:

如果我像这样定义我的elapsed 过滤器:

elapsed {
  start_tag => "task-started"
  end_tag => "task-terminated"
  unique_id_field => "task-id"
  timeout => 1200
  new_event_on_match => true
}

如果有两个连续的事件,start_tag 和相同的task-id 会发生什么?

我能想到几种可能性:

  • 开始时间将重置为第二个“开始”事件时间
  • 第一个事件因为没有得到“结束”事件而被认为是错误,所以会发出一个错误事件,然后第二个事件会被正常处理。
  • 第二个“开始”事件将被忽略

那是哪一个?

【问题讨论】:

    标签: logstash elastic-stack


    【解决方案1】:

    经过的过滤器收集所有“开始事件”。如果两个或多个“开始事件”具有相同的 ID,则只记录第一个,丢弃其他的。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2023-03-27
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode