我有两个字段作为保存在我们的 ELK 集群中的日志消息的一部分:
"EventTime": "2015-07-28 17:03:20",
"EventReceivedTime": "2015-07-28 17:03:22"
有没有办法在每个日志消息中获取这些字段之间的时间差(在本例中为 2 秒)并通过 Kibana3 显示它?
如果不可能,直接的 elasticsearch 查询也可以。
提前致谢!
最佳答案
是的,我只是使用脚本字段在 Kibana 中使用一些测试数据来完成。在 Kibana 中,转到设置,单击左上角的索引模式。
您应该看到 2 个选项卡“字段”和“脚本字段”。
单击“脚本字段”选项卡。然后“添加脚本字段”。
输入“名称”,然后在“脚本”字段中输入类似内容
doc['EventReceivedTime'].value - doc['EventTime'].value
点击底部的“创建字段”。现在您应该会在 Discover 中看到这个新的脚本化字段,并且可以在可视化中使用它。 我的时间戳以毫秒为单位,我的 delta_time 以毫秒为单位。
关于date - 两个字段之间的 Kibana 时间增量,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31673468/