在Elasticsearch中将开始和停止事件之间的消息分组到不同的桶中

4zcjmb1e  于 2023-03-29  发布在  ElasticSearch
关注(0)|答案(1)|浏览(109)

我无法找到一种方法来聚合消息到桶的方式,我想与Elasticsearch。
我有一个日志消息,其中有一个字段指示它是START还是STOP消息和一个时间戳。现在我想将连续的START和STOP消息之间的消息聚合到像这样的桶中:

START msg -
msg       |
msg       | Bucket 1
msg       |
STOP msg  -
START msg -
msg       |
msg       | Bucket 2
msg       |
STOP msg  -

我对Elasticsearch相当陌生,但我已经阅读了关于Bucket聚合和Pipeline聚合的文档,我不知道如何使用START和STOP消息的时间戳来选择需要进入bucket的消息。

相关问题