我正在探索 ELK 堆栈并遇到了一个问题。
我已经生成日志,将日志转发到 logstash,日志采用 JSON 格式,因此它们直接推送到 ES,Logstash 配置中只有 JSON 过滤器,连接并启动指向 ES 的 Kibana。
Logstash 配置:
filter {
json {
source => "message"
}
现在我为每天的日志创建了索引,Kibana 很乐意显示来自所有索引的所有日志。
我的问题是:日志中有许多字段未启用/索引以在 Kibana 中进行过滤。当我尝试将它们添加到 Kibana 中的文件管理器时,它显示“无法搜索未索引的字段”。
注意:这些不是 sys/apache 日志。有 JSON 格式的自定义日志。
日志格式:
{"message":"ResponseDetails","@version":"1","@timestamp":"2015-05-23T03:18:51.782Z","type":"myGateway","file":"/tmp/myGatewayy.logstash","host":"localhost","offset":"1072","data":"text/javascript","statusCode":200,"correlationId":"a017db4ebf411edd3a79c6f86a3c0c2f","docType":"myGateway","level":"info","timestamp":"2015-05-23T03:15:58.796Z"}
像“statusCode”、“correlationId”这样的字段没有被索引。有什么理由吗?
我是否需要给 ES 一个映射文件来要求它索引所有或给定的字段?
最佳答案
您更新了 Kibana 字段列表?
- 基巴纳。
- 设置。
- 重新加载字段列表。
较新的版本:
- 基巴纳。
- 管理。
- 右上角的刷新图标。
关于elasticsearch - Kibana Logstash Elasticsearch |无法搜索未索引的字段,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30471859/