我可以使用Kibana來解析消息字段：

Question

我們使用ELK並將所有系統日誌推送到Elasticsearch中。

我有一個日誌類型一樣，其消息字段的樣子：

"message":"11/04/2016 12:04:09 PM|There are now 8 active connections#015" 

我想用Kibana解析消息隨着時間的推移活躍連接數，然後圖形在Kibana。

我在想如何正確地做到這一點？ 我所做的閱讀似乎告訴我要在Logstash中設置一個篩選器......但是，如果給出消息/日誌和消息的數量，那麼對於此單個日誌行類型來說，解析消息字段似乎是錯誤的地方/ log類型通過Logstash發送。

有沒有一種方法來解析這個數字的消息字段，然後在基巴納隨着時間的推移計算出圖表？

Answer 1

Kibana並不打算做這種解析。有幾個選項可以使用：

1. 你可以編寫一個分析器來分析這個字符串。它可以是 完成，但我不會這樣做。
2. 使用logstash，但你已經建議你自己。如果你感覺 日誌隱藏是沉重的，你可以選擇使用的版本， 去選項三。
3. 使用攝取，這是elasticsearch的一個新功能。這是一種 輕量級logstash，它與彈性預先打包在一起，它支持與grok的模式，可以做到這一點。