0
當我通過「Terms」選擇聚合並打開「Field」下拉列表時,我有一個「kibana」字段沒有出現在kibana中。kibana「terms」選項中缺少的某些字段
不幸的是,我是一名ES初學者,但我猜測它可能與映射有關。下面是該查詢結果的開始「GET logstash - 2017年2月17日」(它有什麼做的「message_field」部分):
{
"logstash-2017.02.17": {
"aliases": {},
"mappings": {
"_default_": {
"_all": {
"enabled": true,
"norms": false
},
"dynamic_templates": [
{
"message_field": {
"path_match": "message",
"match_mapping_type": "string",
"mapping": {
"norms": false,
"type": "text"
}
}
},
{
"string_fields": {
"match": "*",
"match_mapping_type": "string",
"mapping": {
"fields": {
"keyword": {
"type": "keyword"
}
},
"norms": false,
"type": "text"
}
}
}
],
"properties": {
"@timestamp": {
"type": "date",
"include_in_all": false
},
正如你可能已經猜到的數據是所有通過logstash進入。在大多數情況下,當您使用logstash grok過濾器時,消息字段似乎是默認創建的。但是我有其他logstash管道,我專門將數據分配給消息字段。
你可能只需要進入kibana設置,如果它在最初添加到kibana之後被添加到索引中,那麼點擊reload按鈕 – Alcanzar
不,它一直存在。我一直在餵它的數據已經有好幾天了。我現在刷新它的索引只是爲了仔細檢查,但不是... – joniba
如果你能顯示你的logstash conf? – Kulasangar