我使用logstash来分析具有不同结构的多种类型的日志。 “prodlog”和“access_log”在下面。
以下是我的logstash配置:
input {
file {
type => "prodlog"
# Wildcards work, here :)
path => [ "/root/isaac/my_logs/*log*"]
start_position => "beginning"
}
file {
type => "access_log"
# Wildcards work, here :)
path => [ "/root/isaac/my_logs/access_logs/gw_access_log*"]
start_position => "beginning"
}
}
filter {
if [type] == "prodlog" {
grok {
type => "prodlog"
patterns_dir => "/root/isaac/logstash/patterns"
pattern => "%{TIMESTAMP_ISO8601:log_timestamp} %{LOGLEVEL:log_level}%{SPACE} \[%{JAVACLASS:class}\] %{DATA:thread} - .*"
}
}
if [type] == "access_log" {
grok {
type => "access_log"
patterns_dir => "/root/isaac/logstash/patterns"
pattern => "\[%{DATA:my_timestamp}\] %{IP:client} %{WORD:method} %{URIPATHPARAM:request} \[%{DATA:auth_data}\] \[%{DATA:another_timstamp}\] %{NUMBER:result_code} %{NUMBER:duration} %{NUMBER:bytes}"
}
}
}
output {
stdout { debug => true }
elasticsearch { embedded => true }
}
是否可以通过使用elasticsearch内置的Kibana GUI创建多个仪表板,而不是将整个数据混合在同一个仪表板中?
理想情况下,每个仪表板都可以使用kibana主页中自己的URL进行访问。
提前谢谢。答案 0 :(得分:3)
如果要创建新仪表板,请使用其他名称保存正在使用的仪表板。之后,如果您点击文件夹图标,您应该会看到两个仪表板,一个是您之前拥有的仪表板,另一个是您刚刚保存的仪表板。
我认为就像创建新的仪表板一样,但我现在无法访问Kibana进行测试。