我已通过Elasticsearch
将博客导入Logstash
。这已成功完成。
我在日志文件(clientip
)中有一个字段,该字段始终填充,另一个字段有时会填充(trueclientip
)。我想根据两者的合并来聚合;例如如果trueclientip
不为空,则使用其他方式使用clientip
。
如何使用Kibana中的可视化功能执行此操作?我是否需要生成脚本字段或是否有其他方法?
感谢。
答案 0 :(得分:0)
定义应具有此公式的脚本字段:doc['trueclientip'].value ? doc['trueclientip'].value : doc['clientip'].value
并在汇总中使用此字段。
但是,这个脚本字段功能和ip
类型有一个缺点:看起来你从脚本中得到的是数字本身(这是逻辑,因为Kibana 4中的脚本字段只使用Lucene表达式作为语言),而不是字符串表示。内部的IP实际上是Lucene中的long
个数字。
例如,127.0.0.1
在内部表示为2130706433
。这就是您将在Visualize中看到的内容。
确实不太理想,在脚本字段中使用更高级的脚本语言会更好,但github issue already exists。