即使是不成熟的尝试,也胜于胎死腹中的策略。

Correlation问题

Elasticsearch | 作者 Jay | 发布于2016年06月27日 | 阅读数:3938

在packetbeat中扩展协议后,有一点疑问。官方说的correlation,指出如果协议是请求应答模式的,需要先correlation,在publish到es中。那么对于官方文档中提到的sip,如不是一对一的请求应答模式这种协议,发布之前需要进行correlation这一步吗?进行这一步的目的是什么?
以上还不是很清楚,有兴趣持续交流。谢谢。
已邀请:

billzy - Make it easy

赞同来自: Jay

correlation字面意思关联,这一步理论上讲并不是发布到ES的必须步骤,你可以在任意的地方发布任意内容到ES。
但在大多数情况下,我们使用packetbeat的目的都是为了以交易(transaction)为单位计算一些kpi(交易量,响应时间等),correlation这一步就是为了把一个连接(connection)中的若干个message(一般是两个:一问一答)放在一起算kpi。
具体到SIP,你需要在correlation中检测若干个message是否已经齐全了,如果是,计算KPI,发布,如果不是,继续等。

Jay

赞同来自:

correlation 目的,我想应该跟官方指出的一样,用于定位一次完整的请求和应答流程,并定位响应时间。
 On the other hand, for a session-based protocol like SIP, it might make sense to index a document for a SIP transaction or for a full SIP dialog, which can have more than two messages.
如官方指出的,sip这种协议,发布到es的时候,是否需要correlation或者是多次的correlation?

要回复问题请先登录注册