elasticsearch 未显示Kibana4日志级别

我们有一只麋鹿。成功收集所有日志文件并将其推入elasticsearch。然后我们使用Kibana4来可视化日志。但只显示“级别”警告。在elasticsearch索引中，有更多和所有其他“级别”。但这些都没有显示出来。显示索引中除“级别”外的所有其他字段，其中有多个可用值。

---

这是一个错误还是默认配置有问题？

我不完全确定您尝试了什么，以及您如何在Kibana中获得所有级别。因为你提到：

然后我们使用Kibana4来可视化日志。但是只有警告显示为“级别”

这并没有明确使用哪种类型的（开箱即用的）可视化（图形、图表、数据表等），以及实现了哪种聚合

还有，当你说

在elasticsearch索引中，还有许多其他索引 "水平"。但这些都没有显示出来

我假设在logstash端正确地实现/配置了一切（grok过滤器，如果您使用的是模式）

我最近做了类似的事情（解析和可视化tomcat日志），并处理了相同的“级别”问题。我发现在Kibana中，当在任何可视化中使用（子）聚合时，当您选择重要术语->字段名时，它可能会忽略与该字段的其他值相比非常少的值。例如，如果给定时间范围内

level

字段中出现

WARN>>错误的频率

，则Kibana将仅显示

WARN

，而不考虑您输入的大小。这就是它的含义-仅显示重要的术语

要克服此问题，请使用术语->字段->字段名。将顺序设置为上/下 最重要的是，大小到0

您将看到该字段的每个值，而不考虑其出现频率。希望这有帮助

---

PS：选择“底部”可以使您稍微摆脱Kibana可视化中默认的

绿色

颜色

听起来您好像在“发现”选项卡上，并且正在对左侧刻面中显示的值进行注释

这些值是从当前表中的文档生成的（默认值是查询返回的最近500行），而不是从整个查询的结果生成的

因此，如果最近的消息都是WARN，那么左侧的facet中只会显示这些消息

---

要确认这一理论，请排除警告消息，并查看是否出现其他级别。

这是logstash中的一个错误。它损坏了一些日志事件，因此只有具有日志级别警告的日志事件被正确处理。所以只显示这些事件

---

谢谢你的帮助

你用的是什么可视化？你应用了什么聚合？你是否在logstash（比如loglevel）中编写了额外的自定义字段等等……不，我没有使用任何可视化。这是开箱即用的。我们有两个字段，名为“name”和“instance”，它们是通过文件输入添加的。我在参考这一行时问你：

然后我们使用kibana 4来可视化日志。但只有“级别”显示的警告

您可能正在使用一些可视化（折线图、条形图等），对吗？如果您使用的是内置图表，您可能还使用了聚合来存储X轴和子聚合？