У меня есть функция Lambda в AWS, которая сообщает журналы экземпляру ELK. Каждый вызов лямбда-функции генерирует уникальный invocation_id, который отправляется с каждым событием журнала, поэтому события из одного вызова могут быть идентифицированы в ELK. В конце операции я отправляю событие «Готово».
Лямбда-функция может завершиться ошибкой или тайм-аутом, после чего событие "Готово" не отправляется.
Я хочу создать запрос, чтобы показать все вызовы, которые не имеют события «Готово». Параллель SQL может быть:
select invocation_id
from events
where invocation_id not in (select invocation_id
from events
where event_type = 'Done'
group by invocation_id)
group by invocation_id
Я знаю, что в ElasticSearch нет «подзапросов», но, может быть, есть другой способ сделать это?
ИЗМЕНИТЬ:
Я пробую другой подход, посмотрите здесь: Фильтр Logstash: совокупность - автоматическое сохранение по тайм-ауту
