我正在探索麋鹿堆栈,遇到了一个问题。
我已经生成了日志,并将日志转发到了logstash,日志采用JSON格式,因此可以直接将其推送到ES中,Logstash配置中只有JSON过滤器,连接并启动了指向ES的Kibana。
日志存储配置:
filter {
json {
source => "message"
}
字符串
现在,我已经为每天的日志创建了索引,Kibana很高兴地显示了所有索引中的所有日志。
我的问题是:日志中有许多字段未启用/未编入索引,无法在Kibana中进行筛选。当我尝试将它们添加到Kibana中的文件管理器时,它显示**“无法搜索未索引的字段”**。
注意:这些不是sys/apache日志。有JSON格式的自定义日志。
日志格式:
{"message":"ResponseDetails","@version":"1","@timestamp":"2015-05-23T03:18:51.782Z","type":"myGateway","file":"/tmp/myGatewayy.logstash","host":"localhost","offset":"1072","data":"text/javascript","statusCode":200,"correlationId":"a017db4ebf411edd3a79c6f86a3c0c2f","docType":"myGateway","level":"info","timestamp":"2015-05-23T03:15:58.796Z"}
型
未对“statusCode”、“correlationId”等字段进行索引。有什么原因吗?
我是否需要给予ES一个Map文件,要求它索引所有或给定的字段?
4条答案
按热度按时间fjaof16o1#
你已经更新了Kibana字段列表?
1.Kibana
1.设置。
1.重新加载字段列表。
更新版本:
1.Kibana
1.管理。
1.右上方的刷新图标。
92vpleto2#
从6.4.0开始:
警告描述非常简单:
的数据
Management > Index Patterns >
选择您的索引>按右上角的刷新按钮。niwlg2el3#
如果尝试刷新但无法解决,请尝试更改
index.blocks.write: "false"
enter image description here
4sup72z84#
在较新的版本(2023)中,您需要从此处更新Kibana字段列表:
1.管理
1.堆栈管理
1.索引模式
1.选择图案
1.点击“刷新字段列表”按钮