В ELK, как я могу найти журнал, который не соответствует другому?

Question

Допустим, у меня есть журналы до и после операции, как показано ниже:

[XXXX] Операция A запущена
[XXXX] Операция A завершена

Предполагается, что XXXX уникально дляТеперь я хочу выяснить, какое выполнение было запущено, но еще не завершено.Это означает, что мне нужно выяснить XXXX, у которых есть журнал «запущен», но нет журнала «завершен».Как мне этого добиться?

Answer 1

Вы можете использовать истекший фильтр , чтобы сопоставить события начала / окончания.Фильтр позволяет определить период, в который вы ожидаете конечное событие, и, если он не получен, он создаст событие с истекшим сроком действия.