elasticsearch - 如何为Kibana合并两个ElasticSearch文档

标签 elasticsearch logstash kibana elastic-stack elk

我在ElasticSearch中有以下“工作”表,其中包含三列:TIME,JOB_NAME和JOB_STATUS(START或END)。
每次作业开始或结束时,它都作为单独的文档发送到ElasticSearch(通过Logstash)

我想在Kibana中搜索所有已开始但尚未结束的工作。

如何按JOB_NAME分组,只显示那些“残障”人数? (例如,两个起点和一个终点),或者理想情况下,显示所有起点比终点更多的工作

最佳答案

由于您已经在使用Logstash,因此我将使用enrichment lookup并以结尾更新开始事件。以后,这将使您的可视化变得容易得多-只需无休止地获取所有事件即可。

否则,您可能可以在查询时使用bucket selector aggregation来实现针对不平衡存储桶的操作,但是我不确定这对Kibana可视化效果是否会有帮助。

关于elasticsearch - 如何为Kibana合并两个ElasticSearch文档,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/59627192/

上一篇:python - 如何在Python上将.mp3文件作为音频播放

下一篇:powershell - 从Windows Powershell ISE运行PHP CLI

相关文章:

elasticsearch - 仅对 Elasticsearch 上的特定索引禁用动态映射创建?

variables - grok logstash 中的 EVAL

linux - Supervisorctl 无法启动 Logstash

elasticsearch - Kibana Timelion插件如何在 Elasticsearch 中指定一个字段

Elasticsearch排序字段异常

java - Elasticsearch 插件 : "Failed to resolve config path" error

elasticsearch - 搜索时Elasticsearch超时不起作用

php - “Elasticsearch”在刷新索引之前搜索文档

elasticsearch - Logstash 中的环境变量未被正确解析

elasticsearch - 如何使用 Elasticsearch 对文本字段进行排序

©2024 IT工具网  联系我们