【发布时间】:2015-05-08 06:04:44
【问题描述】:
在 elasticsearch v1.3 中,我们有一堆来自不同来源(不同格式)的日志行。我们无法控制将它们放入其中的 logstash 配置,因此它基本上只是一个包含日志行的字段。
使用查找字符串匹配的简单查询,我们已经能够在 Kibana (v3) 中做一些非常酷的事情,但我很乐意做一些我们能够轻松完成的事情,如果数据更加结构化(基于提取的数值、日志行的前 N 个子字符串列表等进行聚合)。
有没有办法让 Kibana 或 Elasticsearch 对日志行进行一些简单的解析?
【问题讨论】:
-
您可以使用脚本字段(您需要将其保存在 elasticsearch 服务器上的磁盘上)做一些事情,但真正的答案是获得对 logstash 配置的控制权。您能否调出自己的 logstash,并将现有的 logstash 输出给您?
标签: elasticsearch kibana