如何在Kibana的Discover UI中查看組/會話中的日志行?
[英]How to view the log rows in group/session in Kibana's Discover UI?
問題描述
我正在使用elasticsearch + kibana + logstash + filebeat最新6.4.1來收集和分析Web日志。 我的日志列如下:
timestamp, http_method, request_uri, http_status, host, user_agent, client_ip, client_port
我已經配置了ELK以在Kibana中顯示我的日志。 但是現在我想在會話中查看我的日志。 我希望日志行可以按會話進行分組,並顯示在Kibana的“ Discover頁面中。 在我的場景中,具有相同(host, client_ip)的日志行屬於同一會話。
我希望“通過會話/分組的用戶界面進行發現”可以顯示所有會話。 當我單擊它時,我仍然可以在一個會話中看到日志行。
有可能做到嗎? 或最佳方法是什么? 謝謝。
2 個解決方案
解決方案1
1 已采納 2018-11-05 11:13:28
“發現”將日志條目顯示為原始文檔,將其存儲為原始文檔,即使不過濾任何內容,您也可以將搜索保存在“發現”中。 通過Vizualize,您可以創建小部件,這些小部件可以匯總會話之類的數據。 我通常為時間軸制作一個或兩個“可視生成器”,為(request_uri,host,user_agent,client_ip)制作一個數據表,為http_status制作一個餅圖。 借助這些視覺效果,您可以創建儀表板,並包含來自發現的搜索結果。 在此儀表板上,您可以搜索和過濾,如果您從發現中添加搜索,則儀表板將顯示每個原始數據,但仍將顯示。 添加新索引后,我才使用發現。
https://www.elastic.co/guide/zh/kibana/current/visualize.html
https://www.elastic.co/guide/zh-CN/kibana/current/dashboard.html
如果您確實希望索引包含host / client_ip作為匯總,則必須先對數據進行分組,然后再將其存儲在elasticsearch中。 儀表盤聽起來是個更好的主意。
編輯:正如Waleed Ali所描述的,可視化可能看起來像這樣
解決方案2
1 2018-11-08 09:45:40
正如@sleepyhead所建議的,Discover不是為了您要尋找的。 您可以從Kibana中的Visualize創建一個數據表(我想您已經完成了)。
接下來,在“ 存儲桶聚合”部分中,您可以選擇“ 拆分行”並進行“ Terms聚合”。 在此處選擇所需的字段(主機)。 然后添加一個子存儲桶,然后再次選擇“ 拆分行”,然后選擇“ Terms匯總”,然后選擇另一個字段(client_ip)。
這將在數據表中為兩個字段(主機,client_ip)的每個唯一集合創建一行,據我所知,這是您所需要的。
默認情況下,只有一個列(計數),但是,您顯然可以通過添加Metric Aggregations添加更多列。
如何通過REST GET提取Kibana中所有保存的搜索(發現)?
[英]How to fetch ALL saved searches (discover) in Kibana via a REST GET?
如何通過REST請求更改更改Kibana保存的搜索(發現)?
[英]How to change change Kibana saved search (Discover) with a REST request?
如何在kibana discover中搜索以g、b或a開頭的任何城市?
[英]How to search for any city starting with either g, b, or a in kibana discover?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.