如何在kibana中的字段上启用排序?

时间:2016-07-19 12:57:24

标签: elasticsearch logstash kibana

在logstash中,我正在解析我的apache日志中的微秒,如何在kibana中对此字段进行排序?

这是我的日志过滤器:

if [type] == "apachelogs" {
    grok {
      break_on_match => false
      match => { "message" => "\[%{HTTPDATE:apachetime}\]%{SPACE}%{NOTSPACE:verb}%{SPACE}/%{NOTSPACE:ApacheRequested}" }
match=> { "message" => "\*\*%{NUMBER:seconds}/%{NUMBER:microseconds}" }

       add_tag => "%{apachetime}"
       add_tag => "%{verb}"
       add_tag => "%{ApacheRequested}"
       add_tag => "%{seconds}"
       add_tag => "%{microseconds}"



    }
  }

2 个答案:

答案 0 :(得分:1)

只要Logstash正在解析您想要排序的字段,它就会对您在Kibana中排序的能力产生影响。

要在Kibana中,在发现视图中对add the field microseconds(或您要排序的任何字段)进行排序。然后,您可以使用字段名称旁边的箭头对该字段进行排序。

答案 1 :(得分:0)

为什么不在球场上排序?感谢您的grok模式,您的活动现在有一个microseconds字段,其中包含值。

您可以通过简单的ifelse if检查进行排序。 Logstash Docs on Conditionals

if [microseconds] <= 30000000 {
  # filter
} 
else if [microseconds] <= 60000000 {
  # filter
}
else {
  # filter
}

编辑:这个答案与问题无关,因为OP实际上是在询问Kibana中的排序,这是关于Logstash中的排序