elasticsearch 如何删除json。我的elasticsearch字段上的前缀,elasticsearch,logstash,elasticsearch,Logstash" /> elasticsearch 如何删除json。我的elasticsearch字段上的前缀,elasticsearch,logstash,elasticsearch,Logstash" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch 如何删除json。我的elasticsearch字段上的前缀

elasticsearch 如何删除json。我的elasticsearch字段上的前缀

logstash

elasticsearch 如何删除json。我的elasticsearch字段上的前缀,elasticsearch,logstash,elasticsearch,Logstash,我用麋鹿获取一些关于我兔子的信息。 这是我的储藏室 json { source => "message" } 但在kibana中,我必须在所有字段前面加上json.xxx: json.sender、json.sender.raw、json.programld、json.programId.raw 我怎样才能不在我的字段名中有这个json.-前缀,这样我就只需要:sender、programId等等 最好的问候和感谢您的帮助 额外问题:我必须在kibana中使用的所有这些“原始”是

我用麋鹿获取一些关于我兔子的信息。 这是我的储藏室

json {
    source => "message"
}
但在kibana中,我必须在所有字段前面加上json.xxx: json.sender、json.sender.raw、json.programld、json.programId.raw

我怎样才能在我的字段名中有这个json.-前缀,这样我就只需要:sender、programId等等

最好的问候和感谢您的帮助

额外问题:我必须在kibana中使用的所有这些“原始”是什么?

根据:

默认情况下,它将把解析后的JSON放在 Logstash事件,但此筛选器可以配置为放置 使用目标配置将JSON转换为任意事件字段

因此,感觉您的json被包装在一个名为“json”的容器中,或者您正在logstash中设置“target”,而没有显示给我们

至于“.raw”,默认的elasticsearch映射将分析您放在字段中的数据,因此将“/var/log/messages”更改为三个单词:[var,log,messages]”,这会使搜索变得困难。为了避免您在开始时担心这一点,logstash会为每个字符串创建一个“.raw”版本,而不会对其进行分析

您最终将创建自己的映射,并且您可以不分析原始字段,这样您就不再需要.raw版本了。

谢谢Alain的回答。您是对的,我的第一次尝试是使用target=>json,但随后我将其更改回您可以看到的内容。现在我将等到明天,看看是否可以摆脱所有这些json。xxx wh我根本不是我想要的。