Logstash不添加字段
[英]Logstash not adding fields
問題描述
我正在使用Logstash 1.4.2,並且具有以下conf文件。
我希望在Kibana的左側“字段”部分中看到“ received_at”,“ received_from”和“ description”的選項,但我沒有。
我懂了
- @timestamp
- @版
- _ID
- _指數
- _type主機路徑
我確實在右側的_source部分看到以下內容...
接收時間:2015-05-11 14:19:40 UTC接收時間:PGP02 descriptionError1!
所以回家了,這些沒有出現在“熱門字段”列表中嗎?
我想過濾右側,以免在右側的_source部分中顯示每個字段。 請原諒編輯塊。
input
{
file {
path => "C:/ServerErrlogs/office-log.txt"
start_position => "beginning"
sincedb_path => "c:/tools/logstash-1.4.2/office-log.sincedb"
tags => ["product_qa", "office"]
}
file {
path => "C:/ServerErrlogs/dis-log.txt"
start_position => "beginning"
sincedb_path => "c:/tools/logstash-1.4.2/dis-log.sincedb"
tags => ["product_qa", "dist"]
}
}
filter {
grok {
match => ["path","%{GREEDYDATA}/%{GREEDYDATA:filename}\.log"]
match => [ "message", "%{TIMESTAMP_ISO8601:logdate}: %{LOGLEVEL:loglevel} (?<logmessage>.*)" ]
add_field => [ "received_at", "%{@timestamp}" ]
add_field => [ "received_from", "%{host}" ]
}
date {
match => [ "logdate", "ISO8601", "yyyy-MM-dd HH:mm:ss,SSSSSSSSS" ]
}
#logdate is now parsed into timestamp, remove original log message too
mutate {
remove_field => ['message', 'logdate' ]
add_field => [ "description", "Error1!" ]
}
}
output {
elasticsearch {
protocol => "http"
host => "0.0.0.x"
}
}
更新:
我已經厭倦了像這樣的查詢:
標簽:數據和日志級別:信息
然后保存此查詢,然后重新加載頁面。
但我仍然看不到日志級別顯示為“熱門字段”
2 個解決方案
解決方案1
2 2015-05-12 14:01:19
如果字段未出現在左側,則可能是kibana緩存問題。 轉到“設置”->“索引”,選擇索引,然后單擊橙色的“刷新”按鈕。
解決方案2
0 2015-08-27 13:39:24
我遇到了與logstash不添加字段相同的問題,經過大量搜索和測試其他事情之后,突然我有了解決方案(但是我使用的是logstash-logback-encoder ,所以我已經有了JSON-如果您不這樣做的話) t,那么您需要在logstash“輸入”階段將事物轉換為JSON)。
我添加了一個“ json”插件過濾器,它為我帶來了魔力:
filter {
json {
source => "message"
}
}
Logstash 到 Elasticsearch 在字段中添加新數據而不是覆蓋現有數據?
[英]Logstash to Elasticsearch adding new data in the fields instead of overwriting the existing data?
Logstash json過濾器未將字段添加到事件的根中[編輯]
[英]Logstash json filter not adding fields to the root of the event [EDITED]
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.