我的日志中有一个名为json_path
的字段,其中包含诸如/nfs/abc/123/subdir/blah.json
之类的数据,我想在此处在字符串count
的一部分上创建abc
图,因此第三个使用令牌/
的块。我已经尝试过各种在线答案,但是它们都是部分答案(我无法轻易理解如何使用或集成它们)。我尝试在Console
中运行POST / GET查询,由于无法调试的语法错误,所有查询均失败(它们抱怨换行符,当我显然看不到任何字符时,请参阅在文本编辑器中显式显示控制字符)。我也尝试过Management -> Index Patterns -> Scripted Field
,但是在这里添加代码之后,基本上整个Kibana都崩溃了(暂时停止工作),直到我删除了Scripted Field
。
所有这些elasticsearch和kibana的工作都非常麻烦,所有文档都希望您成为其工具的专家,而不只是需要可视化某些数据的工程师。
我真的不想在日志生成代码中添加新的数据字段,因为那样我所有的旧日志都将不受支持(其中包含相关数据,它只需要在数据处理之前进行一点字符串处理即可) 。我知道我可能可以对旧的日志进行批注,但是整个Kibana / elasticsearch的经验令人沮丧,而且我还没有用它来证明学习如此详细的程序是正确的(一年前,我实际上学到了很多,然后由于缺乏使用立即将其忘记)。
答案 0 :(得分:0)
除非将子字符串提取到新字段中,否则无法在该字段的子字符串上进行绘制。我可以理解学习新产品时的挫败感,但是要实现您想要的目标,您需要在新字段中具有该子字符串值。脚本字段通常用于修改字段。为了能够从字段中提取子字符串,建议使用grok processor之类的Ingest Node处理器。这将添加一个新字段,可用于在Kibana可视化中进行绘制。