在logstash中,我正在解析我的apache日志中的微秒,如何在kibana中对此字段进行排序?
这是我的日志过滤器:
if [type] == "apachelogs" {
grok {
break_on_match => false
match => { "message" => "\[%{HTTPDATE:apachetime}\]%{SPACE}%{NOTSPACE:verb}%{SPACE}/%{NOTSPACE:ApacheRequested}" }
match=> { "message" => "\*\*%{NUMBER:seconds}/%{NUMBER:microseconds}" }
add_tag => "%{apachetime}"
add_tag => "%{verb}"
add_tag => "%{ApacheRequested}"
add_tag => "%{seconds}"
add_tag => "%{microseconds}"
}
}
答案 0 :(得分:1)
只要Logstash正在解析您想要排序的字段,它就会对您在Kibana中排序的能力产生影响。
要在Kibana中,在发现视图中对add the field microseconds(或您要排序的任何字段)进行排序。然后,您可以使用字段名称旁边的箭头对该字段进行排序。
答案 1 :(得分:0)
为什么不在球场上排序?感谢您的grok模式,您的活动现在有一个microseconds
字段,其中包含值。
您可以通过简单的if
和else if
检查进行排序。 Logstash Docs on Conditionals
if [microseconds] <= 30000000 {
# filter
}
else if [microseconds] <= 60000000 {
# filter
}
else {
# filter
}
编辑:这个答案与问题无关,因为OP实际上是在询问Kibana中的排序,这是关于Logstash中的排序