我正在使用Filebeat将日志发送到Logstash,然后发送到Elasticsearch和Kibana。 因为日志的每一行都包含由' ###'分隔的值,所以我使用'解析'过滤以将单个消息块拆分为不同的字段。我的过滤器配置:
dissect {
mapping => {
"message" => "%{date} %{time}###%{mode}###%{spec}###%{userid}### ..."
}
remove_field => [ "message" ]
}
所以我解剖并删除了原始的消息对象。它可以工作,但它会将其映射到类型为' undefined'的关键字。 如下面的屏幕截图所示,它提供了一个'?'在Kibana旁边的场地。
如何确保将其解析为键入' string'或者'文字'?现在,无法将这些数据可视化,因为它不适用于未定义的数据。类型。
答案 0 :(得分:0)
通过使用tcp连接作为日志传送器将Filebeat替换为日志传送器来修复我自己的问题。
