问题描述
来自 ELK 背景,Kibana 有一些不错的功能,您可以在其中查看您希望的任何记录的周围事件 https://www.elastic.co/guide/en/kibana/current/discover-document-context.html,即查看 5 个前面和 5 个后续事件。
编辑:我还应该提到这个要求,因为我意识到它可能存在,但形式不同。
我希望找到几个需要全部在特定时间段内(即前 5 分钟)发生的事件。
示例;如果 EventID 的 1、2 和 3 显示,我不感兴趣。但是,如果 1,2,3 和 4 显示(彼此相隔 X 分钟内),那么我希望我的查询选择它。
感谢任何提示或技巧。
解决方法
看来 Time Window Join 正是我需要的 - https://docs.microsoft.com/en-us/azure/data-explorer/kusto/query/join-timewindow