我们有ELK设置。成功收集所有日志文件并将其推送到elasticsearch。然后我们使用kibana 4来显示日志。但只有WARN作为'级别'所示。在弹性搜索索引中,还有更多和所有其他级别的索引。但这些都没有显示出来。除了' level'之外,将显示索引中的所有其他字段,其中有多个值可用。 这是一个错误还是默认配置有问题?
答案 0 :(得分:0)
我不完全确定你的尝试是什么,你是如何最终不在Kibana获得所有级别的。因为你提到过:
然后我们使用kibana 4来显示logs.But只有WARN显示为“level”。
这并没有说明正在使用哪种(开箱即用)可视化(图形,图表,数据表等)以及实现了哪些聚合。
另外,当你说
时在弹性搜索索引中,还有很多其他的 “级别的。但这些都没有显示出来。
我假设在logstash端正确实现/配置了所有内容(grok过滤器,如果你使用的是模式)
我最近做了类似的事情(解析和可视化tomcat日志)并处理了相同的“级别”问题。我在Kibana中发现,在任何可视化中使用(子)聚合时,当您选择重要术语 - > fieldname 它可能忽略了与该字段的其他值相比非常小的值。如果在给定时间范围内WARN >>> ERROR字段中level的出现频率为Ex,则Kibana将仅显示WARN,而不管您放入的大小。这就是它的意思 - 显示只有重要条款。
要解决此问题,请使用条款 - >字段 - >字段名即可。将订单设置为上/下 最重要的是,大小到 0 。
您将看到该字段的每个值,无论其出现频率如何。希望这可以帮助。
PS:在Kibana可视化中,选择底部会让你略微摆脱那种默认的GREEN颜色。
答案 1 :(得分:0)
听起来您正处于“发现”标签上,并正在评论左侧构面中显示的值。
这些值是根据当前表格中的文档生成的(默认值是查询返回的最近500行),不是来自整个查询的结果。
因此,如果最近的消息都是WARN,那么这一切都将显示在左侧的facet中。
要确认此理论,请排除WARN消息并查看是否显示其他级别。
答案 2 :(得分:0)
这是logstash中的一个错误。它破坏了一些日志事件,所以只有这些日志级别的WARN被正确处理。所以只显示这些事件。
感谢您的帮助。 ;)