如何创建时间戳增量的直方图？

Question

我们在 ES 中存储小文档，代表对象的一系列事件。每个事件都有一个日期/时间戳。我们需要分析一段时间内所有对象的事件之间的时间。

例如，想象一下这些事件 json 文档：

{ "object":"one", "event":"start", "datetime":"2016-02-09 11:23:01" }

{ "object":"one", "event":"stop", "datetime":"2016-02-09 11:25:01" }

{ "object":"two", "event":"start", "datetime":"2016-01-02 11:23:01" }

{ "object":"two", "event":"stop", "datetime":"2016-01-02 11:24:01" }

我们希望从中得到一个直方图，绘制两个生成的时间戳增量（从开始到停止）：对象一为 2 分钟/120 秒，对象二为 1 分钟/60 秒。

最终我们想要监控开始和停止事件之间的时间，但它要求我们计算这些事件之间的时间，然后聚合它们或将它们提供给 Kibana UI 以进行聚合/绘制。理想情况下，我们希望将结果直接提供给 Kibana，这样我们就可以避免创建任何自定义 UI。

提前感谢您的任何想法或建议。

Answer 1

既然您愿意使用 Logstash，有一种方法可以使用 aggregate filter

请注意，这是一个需要先安装的社区插件。 （即默认情况下它不附带 Logstash）

aggregate 过滤器的主要思想是合并两个“相关”日志行。您可以配置插件，使其知道“相关”的含义。在您的情况下，“相关”意味着两个事件必须共享相同的 object 名称（即 one 或 two），然后第一个事件的 event 字段具有 start 值和第二个事件的 event 字段具有 stop 值。

当过滤器遇到start 事件时，它将该事件的datetime 字段存储在内部映射中。当遇到stop 事件时，它会计算两个日期时间之间的时间差，并将持续时间（以秒为单位）存储在新的duration 字段中。

input {
    ...
}
filter {
    ...other filters

    if [event] == "start" {
        aggregate {
            task_id => "%{object}"
            code => "map['start'] = event['datetime']"
            map_action => "create"
        }
    } else if [event] == "stop" {
        aggregate {
            task_id => "%{object}"
            code => "map['duration'] = event['datetime'] - map['start']"
            end_of_task => true
            timeout => 120
        }
    }
}
output {
    elasticsearch {
        ...
    }
}

请注意，您可以调整 timeout 值（此处为 120 秒）以更好地满足您的需求。当超时时间过去并且还没有停止事件发生时，现有的开始事件将被丢弃。