我有一个日志文件,格式如下。
的timeStamp,过去时,标签,字节,延迟
我的logstash中有一个过滤器,带有以下grok解析器
grok{
match => ["message","%{TIMESTAMP_ISO8601:timestamp},%{NUMBER:elapsed},%{DATA:label},%{NUMBER:bytes},%{NUMBER:Latency}"]
}
date {
match => [ "timestamp", "YYYY-MM-dd HH:mm:sss Z", "ISO8601" ]
timezone => "UTC"
}
现在我正在尝试创建一个绘制时间戳与延迟或时间戳与字节的图表。
我正在尝试将面板类型用作直方图,将图表值用作“总计”或“平均值”,当我尝试将“值”字段输入为“延迟”或“已过去”时,我在弹性搜索中出现错误
Caused by: org.elasticsearch.search.facet.FacetPhaseExecutionException: Facet [0]: (value) field [elapsed] not found
at org.elasticsearch.search.facet.datehistogram.DateHistogramFacetParser.parse(DateHistogramFacetParser.java:195)
at org.elasticsearch.search.facet.FacetParseElement.parse(FacetParseElement.java:93)
Caused by: org.elasticsearch.search.facet.FacetPhaseExecutionException: Facet [0]: (value) field [Latency] not found
at org.elasticsearch.search.facet.datehistogram.DateHistogramFacetParser.parse(DateHistogramFacetParser.java:195)
at org.elasticsearch.search.facet.FacetParseElement.parse(FacetParseElement.java:93)
at org.elasticsearch.search.SearchService.parseSource(SearchService.java:644)
... 9 more
即使日志确实具有延迟或已过去的字段,也会发生这种情况。
我该如何解决这个问题?