elasticsearch 从logstash日志创建Kibana图,elasticsearch,logstash,kibana,logstash-configuration,elasticsearch,Logstash,Kibana,Logstash Configuration" /> elasticsearch 从logstash日志创建Kibana图,elasticsearch,logstash,kibana,logstash-configuration,elasticsearch,Logstash,Kibana,Logstash Configuration" />
Fatal编程技术网

elasticsearch 从logstash日志创建Kibana图

logstash kibana

elasticsearch 从logstash日志创建Kibana图,elasticsearch,logstash,kibana,logstash-configuration,elasticsearch,Logstash,Kibana,Logstash Configuration,我需要根据一个特定的值在kibana中创建一个图 这是我在logstash的原始日志: 2016-03-14T15:01:21.061Z Accueil-PC 14-03-2016 16:01:19.926 [pool-3-thread-1] INFO com.github.vspiewak.loggenerator.SearchRequest - id=300,ip=84.102.53.31,brand=Apple,name=iPhone 5S,model=iPhone 5S - Gris s

我需要根据一个特定的值在kibana中创建一个图

这是我在logstash的原始日志:

2016-03-14T15:01:21.061Z Accueil-PC 14-03-2016 16:01:19.926 [pool-3-thread-1] INFO com.github.vspiewak.loggenerator.SearchRequest - id=300,ip=84.102.53.31,brand=Apple,name=iPhone 5S,model=iPhone 5S - Gris sideral - Disque 64Go,category=Mobile,color=Gris sideral,options=Disque 64Go,price=899.0
在这个日志行中,我有id信息“id=300”。 为了使用id值在Kibana中创建图形,我需要一个新字段。所以我有一个特定的grok配置:

grok {
 match => ["message", "(?<mycustomnewfield>id=%{INT}+)"]        
}

input {
tcp {
    port => "yyyy"
    host => "x.x.x.x"
    mode => "server"
    codec => json # I forgot this option
}}
实际上创建了一个新字段(“mycustomnewfield”)但位于消息字段内!因此,当我试图创建一个图形时,我在kibana中看不到它。我试图在Kibana中创建一个“脚本字段”,但只能访问数字字段

我是否应该在elasticSearch中创建一个带有特定映射的索引来创建一个新字段?

实际上我的配置有问题。我应该用我的问题粘贴整个配置。事实上,我将logstash用作发货人,也用作日志服务器。在服务器端,我修改了配置:

grok {
 match => ["message", "(?<mycustomnewfield>id=%{INT}+)"]        
}

input {
tcp {
    port => "yyyy"
    host => "x.x.x.x"
    mode => "server"
    codec => json # I forgot this option
}}
因为logstash shipper实际上正在发送json,所以我需要就此向服务器提供建议。现在,我的消息字段中不再有消息字段,我的新字段被插入到正确的位置。

感觉您的配置中出现了其他问题。虽然它没有回答您的问题,但我会将内容从“id=”一直带到最后,并通过kv{}过滤器运行它。谢谢您的回答,我尝试了kv过滤器,它做了同样的事情=>字段始终在消息字段中。我会使用千伏滤波器,但我仍然有一个问题。就像我说的,我觉得那条线路并不是把你搞砸的那个。我会在整个配置中查找[message]的其他内容。那么实际上有什么问题吗?新字段不应该插入到“消息”字段中?很高兴您找到了它。