0
Wenn ich wie so meine elapsed Filter definieren:Logstash „abgelaufen“ Filter - double "Start" Ereignis
elapsed {
start_tag => "task-started"
end_tag => "task-terminated"
unique_id_field => "task-id"
timeout => 1200
new_event_on_match => true
}
Was passiert, wenn es 2 aufeinander folgende Ereignisse mit einem start_tag und derselben task-id?
ich von ein paar Möglichkeiten denken:
- Die Startzeit
- Das erste Ereignis als Fehler betrachtet werden, um die zweite „Start“ Ereigniszeit zurückgesetzt werden, da es nicht bekommen haben "end" -Ereignis, so dass ein Fehlerereignis ausgegeben wird und dann das zweite Ereignis normal behandelt wird.
- Der zweite „Start“ Veranstaltung wird
Also welches ist ignoriert das?