Bonjour @ovs,
J'ai quelques questions pour bien comprendre ton contexte :
- quand tu dis "log1" et "log2", tu veux dire que tu as deux fichiers de log en entrée de logstash ?
- est-ce que tu parses d'abord tous les messages de log1, puis tous les messages de log2 ?
- ou est-ce qu'au contraire, en terme d'ordre d'arrivée dans logstash, tu as un message de log1 qui arrive, puis le message associé de log2 ?
- qu'est-ce qui te permet de corréler un message de log1 et un message de log2 ? Un identifiant de corrélation ?
Sinon, pour info, le plugin logstash "aggregate" est un filtre qui te permet d'aggéger des informations qui se trouvent dans plusieurs lignes d'une même tâche. Une tâche pouvant être une requête http, une exécution de batch, un nom de fichier, une session utilisateur, bref ce qui t'arrange.
Donc si pour une tâche donnée, tu as plusieurs messages provenant de log1 et de log2 avec un identifiant permettant de corréler la tâche, et que tu as un message estampillant la fin de la tâche dans lequel tu peux pousser toutes les informations que tu aggrégé des précédentes lignes de log de la tâche, alors oui, le plugin aggregate peut répondre à ton besoin.