Question

我尝试解析message字段以生成不同的字段。经过研究，解决方案是将grok与match一起使用。但在Kibana中，我看不到新字段（即使在刷新或重新创建logstash索引中的字段之后）

我在过滤器配置中尝试了这个：

grok {
  match => {
    "message" => "\[32m%{LOGLEVEL:loglevel}\[39m: memory: %{NOTSPACE:memory}, uptime \(seconds\): %{NUMBER:uptime}, load: %{NUMBER:load1},%{NUMBER:load5},%{NUMBER:load15}"
  }
}
mutate {
  rename => { "docker.id" => "container_id" }
  rename => { "docker.name" => "container_name" }
  rename => { "docker.image" => "docker_image" }
  rename => { "docker.hostname" => "docker_hostname" }
}

转换此类消息：

[32minfo[39m: memory: 76Mb, uptime (seconds): 5529.927, load: 0.05322265625,0.1298828125,0.19384765625

对这个变量：

load15 0.19384765625
正常运行时间 5529.927
load1 0.05322265625
load5 0.1298828125
记忆 76Mb
loglevel info

我在http://grokconstructor.appspot.com/do/match中测试模式，我的匹配工作正常。但是，在Kibana，我无法检索这些字段。

由于

ElasticSearch 2，Logstash和Kibana：grok匹配无法创建字段

0 个答案: