我使用elk堆栈来分析日志数据,并且必须处理大量的日志数据。 看起来所有日志都可以使用logstash / grok解析。
有没有办法用kibana搜索无法解析的日志?
答案 0 :(得分:2)
如果你的grok {}无法匹配你提供的其中一个模式,它将设置一个名为“_grokparsefailure”的标签。您可以搜索:标签:_grokparsefailure
如果您有多个grok {}过滤器,建议使用tag_on_failure参数为每个grok设置不同的标记,以便您可以更快地识别导致问题的节。