Агрегация эластастеров по разным журналам

У меня есть журналы, которые выглядят примерно так:

docker.id: 122334

ID проекта: 112332

docker.id: 122334

языковой стандарт: en_US

docker.id: 122334

журнал: "ОШИБКА: ошибка сборки"

Все они используют один и тот же docker.id. Возможно ли, чтобы elastalert был запущен для записи "ОШИБКА" и затем отправил предупреждение с данными, агрегированными по всем предприятиям с одним и тем же docker.id?

Благодарю.