我有一个ELK堆栈,日志条目从Logstash进入Elasticsearch。在Kibana中,我想做一个简单的“可视化”,它只显示与特定保存搜索匹配的所有日志消息的文本。例如,所有今天的日志消息表示“错误”。这类似于在Kibana的“发现”部分查看结果,但更容易阅读。
我认为“数据表”可视化可能会这样做,但它似乎仍然需要“聚合”,例如错误消息的总数。
你能否告诉我这是否可能,如果是的话,是否有任何文件可以解释如何做到这一点?
答案 0 :(得分:1)
您可以使用save a search在“发现”部分中field columns in the Document table,以便可以查看匹配文档中的所有邮件(以及前500个)。