我们使用ELK堆栈采用了集中式日志记录 . 但是,我对如何根据内容的子字符串(或正则表达式或更复杂的处理)对邮件进行分组感到茫然 .
例:
-
消息1:已删除的对象ID [123]
-
消息2:合并对象id [123]至[456]
-
消息3:未能将对象ID [123]合并到[789]
等等 .
我希望能够在回答特定过滤器的消息(例如"failed to merge")上进行分组,但是基于正则表达式(例如第一个对象id - "object id [(.*?)]"或类似的东西),所以我会计算对象的次数X无法合并到任何其他对象 .
这可能与Kibana / ES / Lucene一起使用吗?理想情况下,我想通过Kibana UI执行此操作,但我几乎可以轻松使用查询语言 . 我不能做的是为每个这样的查询定义计算/脚本字段 .