Kibana:如何基于两个领域进行可视化

时间:2015-07-13 11:32:55

标签: elasticsearch kibana-4 elastic-stack

我已通过Elasticsearch将博客导入Logstash。这已成功完成。

我在日志文件(clientip)中有一个字段,该字段始终填充,另一个字段有时会填充(trueclientip)。我想根据两者的合并来聚合;例如如果trueclientip不为空,则使用其他方式使用clientip

如何使用Kibana中的可视化功能执行此操作?我是否需要生成脚本字段或是否有其他方法?

感谢。

1 个答案:

答案 0 :(得分:0)

定义应具有此公式的脚本字段:doc['trueclientip'].value ? doc['trueclientip'].value : doc['clientip'].value并在汇总中使用此字段。

但是,这个脚本字段功能和ip类型有一个缺点:看起来你从脚本中得到的是数字本身(这是逻辑,因为Kibana 4中的脚本字段只使用Lucene表达式作为语言),而不是字符串表示。内部的IP实际上是Lucene中的long个数字。

例如,127.0.0.1在内部表示为2130706433。这就是您将在Visualize中看到的内容。

确实不太理想,在脚本字段中使用更高级的脚本语言会更好,但github issue already exists