我在AWS中有一个Lambda函数,它将日志报告给ELK实例。
每次调用lambda函数都会生成一个与每个日志事件一起发送的唯一invocation_id,因此可以在ELK中识别来自单个调用的事件。
在操作结束时,我发送了一个“完成”事件。
Lambda函数可能会失败或超时,然后不会发送“完成”事件。
我想创建一个查询来显示所有没有“完成”事件的调用。 SQL并行可以是:
select invocation_id
from events
where invocation_id not in (select invocation_id
from events
where event_type = 'Done'
group by invocation_id)
group by invocation_id
我知道ElasticSearch中没有“子查询”,但也许有其他方法可以做到这一点?
修改
我正在尝试不同的方法,请查看此处:Logstash Filter: aggregate - auto save on timeout