Я изучаю стек EKL и сталкиваюсь с проблемой.
Я создал журналы, пересылал журналы в logstash, журналы находятся в формате JSON, поэтому они вставляются непосредственно в ES только с фильтром JSON в конфигурации Logstash, подключены и запускаются Kibana, указывая на ES.
Logstash Config:
filter {
json {
source => "message"
}
Теперь у меня есть индексы, созданные для каждого дневного журнала, и Kibana счастливо показывает все журналы из всех индексов.
Моя проблема: в журналах есть много полей, которые не включены/индексированы для фильтрации в Kibana. Когда я пытаюсь добавить их в filer в Kibana, он говорит, что "неиндексированные поля не могут быть найдены" .
Примечание: это не журнал sys/apache. В формате JSON есть настраиваемые журналы.
Формат журнала:
{"message":"ResponseDetails","@version":"1","@timestamp":"2015-05-23T03:18:51.782Z","type":"myGateway","file":"/tmp/myGatewayy.logstash","host":"localhost","offset":"1072","data":"text/javascript","statusCode":200,"correlationId":"a017db4ebf411edd3a79c6f86a3c0c2f","docType":"myGateway","level":"info","timestamp":"2015-05-23T03:15:58.796Z"}
поля, такие как 'statusCode', 'correIdI' не индексируются. Любая причина, по которой?
Нужно ли мне предоставить файл сопоставления ES, чтобы он проиндексировал все или заданные поля?