Настройка визуализаций в кибане

Всем привет! Подскажите пожалуйста, возможно ли настроить логическое отображение данных?
Например, в эластик поступают данные двух видов, это сообщение открытии и закрытии сессии. В каждом сообщении есть идентификатор сессии, то есть, возможно ли настроить так, что бы например в таблице или в другом визуальном представлении отображались сообщения о старте сессии при условии, что сообщения о завершении не было. Как только приходит сообщение о стопе, оно удаляет сообщение о старте с одинаковым уникальным идентификатором.

Я сейчас подумал, и возможно это можно реализовать с помощью uniqle count(например в таблице), только вот не понимаю как это работает, можете на пальцах объяснить логику?
Как я хочу сделать, в uniqle count запихнуть нужное поле и по этому полю показать мне все сообщения которых не больше одного.

Хотя нет, uniqle count не подходят...

Сейчас более подробно опишу что я хочу, есть сообщения в elasticsearch:

Timestamp: "Dec 11 11:44:24", Type_reg: "start", User_name: "Sidorov_fd", Session_id: "10234529"
Timestamp: "Dec 11 11:40:24", Type_reg: "stop", User_name: "Smirnov_tm", Session_id: "1d03e509"
Timestamp: "Dec 11 11:36:24", Type_reg: "start", User_name: "Smirnov_tm", Session_id: "1d03e509"
Timestamp: "Dec 11 11:34:24", Type_reg: "stop", User_name: "Ivanov_as", Session_id: "10034509"
Timestamp: "Dec 11 11:30:24", Type_reg: "start", User_name: "Ivanov_as", Session_id: "10034509"

Это открытие и закрытие сессии VPN, например Ivanov открыл сессию с ID 10034509, потом закрыл её, после Smirnov открыл сессию с ID 1d03e509. Мне нужно видеть сообщения которые еще не закрылись, в данном случае это сообщение start у Sidorov.
Может это можно реализовать через Query DSL?

Поищете по этому форуму. Эта проблема обсуждалась по крайней мере 2 раза. В кратце, проще всего будет писать все в одну запись и обновлять ее при закрытие сессии.

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.