elasticsearch - 如何从OpenShift EFK堆栈中的日志条目提取和可视化值

标签 elasticsearch openshift kibana fluentd

我有一个带有EFK堆栈的OKD集群设置用于记录,如here所述。我以前从未使用过其中一个组件。

一个部署会记录包含我感兴趣的特定值的请求。我想仅提取此值,并使用Kibana中的区域图将其可视化,以显示请求的数量及其来源。
message字段的内容基本上如下所示:

[fooServiceClient#doStuff] {"somekey":"somevalue", "multivalue-key": {"plz":"12345", "foo": "bar"}, "someotherkey":"someothervalue"}

plz是德语的邮政编码,我希望按照描述将其可视化。

我的问题是我不知道如何提取此值。

如果我可以用正则表达式找到它,那将是一个不错的成功,但是Kibana似乎并没有按照我认为的方式工作。根据其文档,我希望此/\"plz\":\"[0-9]{5}\"/可以为我提供结果,但是我得到0次点击(时间间隔设置正确)。即使此正则表达式匹配,我也只能找到包含该正则表达式的日志条目,而不仅仅是指定值。我怎么继续呢?

我想我还需要外部地理编码服务,但是什么时候可以包含它呢?还是Kibana本身知道如何将邮政编码映射到几何?

初学者友好的循序渐进指南将是完美的,但是我可以满足一些指导我的建议。

最佳答案

使用ingest pipeline with grok processor可以在文档被索引到ES中时解析message字段。

首先,创建如下的摄取管道:

PUT _ingest/pipeline/parse-plz
{
  "processors": [
    {
      "grok": {
        "field": "message",
        "patterns": [
          "%{POSINT:plz}"
        ]
      }
    }
  ]
}

然后,当您为数据建立索引时,只需引用该管道:
PUT plz/_doc/1?pipeline=parse-plz
{
  "message": """[fooServiceClient#doStuff] {"somekey":"somevalue", "multivalue-key": {"plz":"12345", "foo": "bar"}, "someotherkey":"someothervalue"}"""
}

最后,您将得到一个类似于以下文档的文档,该文档现在具有一个名为plz的字段,其中包含12345值:
{
  "message": """[fooServiceClient#doStuff] {"somekey":"somevalue", "multivalue-key": {"plz":"12345", "foo": "bar"}, "someotherkey":"someothervalue"}""",
  "plz": "12345"
}

从Fluentd为文档建立索引时,可以在配置中添加specify a pipeline to be used。如果您不能或不想修改Fluentd配置,则还可以为索引定义默认管道,该管道将在每次索引新文档时启动。只需在索引上运行此代码,就可以在为文档建立索引时无需指定?pipeline=parse-plz:
PUT index/_settings
{
  "index.default_pipeline": "parse-plz"
}

如果您有多个索引,则更好的方法可能是定义一个index template,以便每当创建一个名为project.foo -something的新索引时,都将应用设置:
PUT _template/project-indexes
{
  "index_patterns": ["project.foo*"],
  "settings": {
     "index.default_pipeline": "parse-plz"
  }
}

现在,为了在 map 上映射该PLZ,您首先需要找到一个数据集,该数据集为您提供每个PLZ的地理位置。

然后,您可以在管道中添加第二个处理器,以进行PLZ / ZIP到纬度,经度的映射:
PUT _ingest/pipeline/parse-plz
{
  "processors": [
    {
      "grok": {
        "field": "message",
        "patterns": [
          "%{POSINT:plz}"
        ]
      }
    },
    {
      "script": {
        "lang": "painless",
        "source": "ctx.location = params[ctx.plz];",
        "params": {
          "12345": {"lat": 42.36, "lon": 7.33}
        }
      }
    }
  ]
}

最终,您的文档将如下所示,并且您将能够在Kibana可视化中利用location字段:
{
  "message": """[fooServiceClient#doStuff] {"somekey":"somevalue", "multivalue-key": {"plz":"12345", "foo": "bar"}, "someotherkey":"someothervalue"}""",
  "plz": "12345",
  "location": {
    "lat": 42.36, 
    "lon": 7.33
  }
}

因此,总而言之,归结为以下两点:
  • 创建一个摄取管道,以在文档被建立索引
    • 时解析文档
  • 为所有project*索引创建索引模板,这些索引的设置包括在步骤1中创建的管道

    • 关于elasticsearch - 如何从OpenShift EFK堆栈中的日志条目提取和可视化值,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57460451/

    上一篇:PowerShell DSC 服务缺少成员

    下一篇:powershell - 在管道变量上“必须指定一个对象”到 Get-Member

    相关文章:

    javascript - OpenShift Node.js WebSocket 服务器连接问题

    elasticsearch - 使用log4j和ELK Stack记录错误编码的消息

    elasticsearch - Grafana图总数显示为列表?

    elasticsearch - Elasticsearch范围不适用于双索引

    elasticsearch - 多字构面(ElasticSearch + Tire)

    node.js - elasticsearch中如何根据createdDate等字段进行搜索

    date - 更改 kibana 中的日期格式

    java.lang.NoSuchMethodError : org. Elasticsearch .common.settings.Settings.settingsBuilder()

    python - Openshift [Errno 13] 权限被拒绝

    java - 如何使用 OPENSHIFT_DATA_DIR 环境变量在 Openshift 应用程序中引用自定义文件

    ©2024 IT工具网  联系我们