代码之家  ›  专栏  ›  技术社区  ›  Karn Kumar

在Kibana中,我有一个包含问号`?`公制字段中不显示

kibana-6 elastic-stack logstash
  •  0
  • Karn Kumar  · 技术社区  · 6 年前

    ? . 目标是创建一个过滤器,排除字段中包含问号的所有条目。所以,当我试图在聚合下创建一个度量时 Term 那些 ? 这里看不到标记,请帮助新手理解。。

    下面是 logstash.conf 

    # cat logstash-syslog.conf
input {
  file {
    path => [ "/scratch/rsyslog/*/messages.log" ]
    type => "syslog"
  }
  file {
    path => [ "/scratch/rsyslog/Aug/messages.log" ]
    type => "apic_logs"
  }
}

filter {
  if [type] == "syslog" {
    grok {
      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp } %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
      add_field => [ "received_at", "%{@timestamp}" ]
      remove_field => ["@version", "host", "message", "_type", "_index", "_score", "path"]
    }
    syslog_pri { }
    date {
      match => [ "syslog_timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]
 }
}
  if [type] == "apic_logs" {
    grok {
      match => { "message" => "%{CISCOTIMESTAMP:syslog_timestamp} %{CISCOTIMESTAMP} %{SYSLOGHOST:syslog_hostname} (?<prog>[\w._/%-]+) %{SYSLOG5424SD:f1}%{SYSLOG5424SD:f2}%{SYSLOG5424SD:f3}%{SYSLOG5424SD:f4}%{SYSLOG5424SD:f5} %{GREEDYDATA:syslog_message}" }
      add_field => [ "received_at", "%{@timestamp}" ]
      remove_field => ["@version", "host", "message", "_type", "_index", "_score", "path"]
   }
 }
}
output {
        if [type] == "syslog" {
        elasticsearch {
                hosts => "noida-elk:9200"
                manage_template => false
                index => "syslog-%{+YYYY.MM.dd}"
                document_type => "messages"
  }
 }
}

output {
        if [type] == "apic_logs" {
        elasticsearch {
                hosts => "noida-elk:9200"
                manage_template => false
                index => "apic_logs-%{+YYYY.MM.dd}"
                document_type => "messages"
  }
 }
}

    enter image description here

    Availbale Fields

    1 回复  |  直到 6 年前
        1
  •  2
  •   Karn Kumar    6 年前

    我解决了我的问题!

    为什么我看到这个符号?按Kibana发现页面中的字段

    一定要勾选复选框 include system indices 在下面屏幕截图的最右边。

    enter image description here

    可以重新排列表中的字段列。将鼠标悬停在要移动的列标题上,然后单击“将列移到左侧”按钮或“将列移到右侧”按钮。

    重新加载字段列表 完成以下步骤以重新加载Kibana中显示的字段列表:

    选择管理页面,然后选择索引模式以列出可用的索引。

    为您的共享空间选择索引模式,以查看Elasticsearch记录的每个字段及其关联的核心类型。

    单击“重新加载字段列表”按钮“重新加载字段列表”以重新加载索引模式字段。

        2
  •  1
  •   Itaypk    4 年前

    如果您正在使用kibana,请确保在重新创建索引之后正在刷新它,特别是在向其添加新字段时。此刷新在Kibana的management部分针对每个索引模式提供。

    "?" -表示可用的列,但在刷新之前不是弹性索引的一部分。

    推荐文章
    flalar  ·  从SQL转换为elasticsearch查询
    7 年前
    CrizR  ·  如何使用logstash和elastic配置本机python日志库?
    7 年前
    Shivanshu Bagga  ·  在logstash中加密/保护Elasticsearch的密码。conf文件
    7 年前
    ngi  ·  Logstash 6.0.0:elasticsearch的未知设置–索引类型
    7 年前
    krock1516  ·  无法接收syslog日志。删除和替换函数的配置
    7 年前
    TheHorizon  ·  ELK:设置logstash ELK堆栈的多个http输入
    7 年前
    Livioso  ·  Logstash with Google PubSub输入插件错误:证书验证失败
    7 年前
    Mrin  ·  #<Sequel::jdbc::数据库:0 x764acb8b>
    7 年前
    Venkat  ·  Logstash在Windows 10中不工作
    7 年前
    loki  ·  如何使用logstash制作索引json文件?
    7 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号