elasticsearch 如何在Kibana上为日志创建新字段？

但是，当我在kibana仪表板上查看日志时，我配置了一个Fortimail将其日志消息发送到Logstash

我想将消息字段拆分为几个字段，例如：

时间

，

设备id

，

从

，

到

见下图：

我不知道如何继续自定义字段

---

你能告诉我一些关于配置哪些文件的想法吗？

你需要在日志存储配置中使用类似kvp过滤器的东西来实现这一点，Alcazar是正确的，但他几乎没有给你任何东西

实际上，在logstash配置中，您需要设置一个

filter{}

部分，描述如何将日志分解为各个字段。请注意，这是在日志被摄取时完成的，而不是在日志已经进入弹性搜索之后

---

有关更多信息，请参阅文档。

谢谢@Joe。我可以通过配置logstash将消息拆分为几个字段（例如，方法、持续时间、控制器）

下面是我的实际示例，让我们从文件中读取以下日志：

 input {
  file {
    path => "/var/log/http.log"
  }
}
filter {
  grok {
    match => { "message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" }
  }
}

检查最新版本（2019年6月）是否解决了您的问题：

弹性日志，7.2.0版，可在或作为

这包括，对于Kibana中的Logs应用程序，字段固定，也称为自定义列

这允许您指定要在日志查看器中显示的其他字段，以及默认字段：

---

总体上看一下Logstash的grok过滤器和grok模式。它类似于regex，另外还有一些“内置”模式可以用于公共数据（请参阅）