ELK：如何處理來自兩行的數據？

在我們的web應用程序，我們在開始和方法的這樣到底有日誌：ELK：如何處理來自兩行的數據？

2015-07-10 11:06:06,571 [INFO ][http-apr-80-exec-60] IDeviseService - Method findChangeForDate - Start by : bokc 
2015-07-10 11:06:06,571 [INFO ][http-apr-80-exec-60] IDeviseService - Method findChangeForDate - End

我「分裂」這爲不同的標籤（方式：findChangeForDate，用戶：bokc，時間：2015 - 07-10 11：06：06,571，線程：http-apr-80-exec-60，....）。

但ELK（ElasticSearch，Logstash，Kibana）能夠找到執行延遲，或者我可能需要直接在日誌中添加這些信息嗎？

BokC

來源

2015-07-20 BokC

的elapsed{} filter可以計算你的「開始」和「停止」事件之間的差別。您爲開始/結束事件添加標籤，然後使用已用{}關聯它們。

elapsed { 
    start_tag => "myStartTag" 
    end_tag => "myEndTag" 
    unique_id_field => "myCorrelatingField" 
    timeout => 300 
    new_event_on_match => false 
    }

來源

2015-07-20 16:20:22

它看起來像我需要的東西。坦克。 – BokC

ELK：如何處理來自兩行的數據？

回答

相關問題