如何在Kibana上為日志創建新字段？

Question

但是，當我在kibana儀表板上查看日志時，我將Fortimail配置為將其日志消息發送到Logstash。

我想將消息字段拆分為幾個字段，例如： time ， device_id ， from to ...

看到這張圖片：

我不知道如何進行自定義字段。

可以給我一些想法來了解要配置哪些文件嗎？

Answer 1

城堡是正確的，但是他幾乎沒有給您繼續做的事情。

實際上，在您的logstash配置中，您將需要設置一個filter{}部分，該部分描述如何將日志分為各個字段。 請注意，這是在提取日志時完成的，而不是在已經進行彈性搜索之后。

有關更多信息，請參見grok過濾器的文檔。

Answer 2

謝謝@喬。 我可以通過配置logstash將消息拆分為幾個字段（例如，方法，持續時間，控制器）。

這是我的實際示例，讓我們從文件中讀取這些日志：

 input {
  file {
    path => "/var/log/http.log"
  }
}
filter {
  grok {
    match => { "message" => "%{IP:client} %{WORD:method} %{URIPATHPARAM:request} %{NUMBER:bytes} %{NUMBER:duration}" }
  }
}

Answer 3

您需要使用類似kvp過濾器的操作在logstash配置中執行此操作

Answer 4

檢查最新（2019年6月） Elastic 7.2版本是否解決了您的問題：

彈性日志 ，版本7.2.0，可從Elasticsearch服務 ，或為部分彈性棧的默認分配

對於Kibana中的Logs App而言，這包括字段固定 ，也稱為自定義列 。

這使您可以指定其他字段以顯示在日志查看器中，以及默認字段：

Answer 5

大致了解一下Logstash的grok過濾器和grok模式。 就像正則表達式一樣，另外還有已經可以用於通用數據的“內置”模式（請參閱https://github.com/elastic/logstash/blob/v1.4.2/patterns/grok-patterns ）