使用自定义查询创建自定义Kibana仪表板

时间:2015-01-20 12:17:09

标签: apache elasticsearch logstash kibana

我有2个日志文件,1个用于Apache,另一个用于自定义应用程序。要查询日志以查找错误,Apache日志的日志级别标记为ERROR,而自定义应用程序的响应代码标记为500.

我有一个仪表板,显示Apache日志中与tag = Error匹配的总错误,以及匹配响应代码= 500的总错误的第二个错误。

我的挑战是如何将两个错误结合起来而不是将它们分开。我在网上搜索了有关如何将查询定义为全局错误=总数的文档,其中tag = error在apache log TYPE&在xxx日志类型中响应= 500的总数。

由于

1 个答案:

答案 0 :(得分:1)

假设您不想以某种方式关联Apache和应用程序日志,但只是希望所有匹配任一条件的事件,即两种错误类型的总和,这都有效(调整字段名称):

(type:apache AND tags:error) OR (type:custom AND response_code:500)