ELK 仪表板显示错误 data/results
ELK Dashboard showing wrong data/results
我是 ELK Stack 的新手,正在尝试设置一个仪表板来分析我的 apache 访问日志。设置环境并显示我的日志文件中的数据都有效。但似乎 Kibana 错误地使用空格(以及在另一个仪表板中的冒号和减号)作为分隔符。
前两张截图显示我的属性"server_node"里面的信息是正确的。
遗憾的是,这表明每个 space-sign 都用作分隔符。因此,在 server_node 中看到的 "Tomcat Website Prod 1" 或 "Tomcat Website Prod 2" 条目太多,因此伪造了我的图表。
这是我的小部件设置。如前所述,我是 ELK 的新手,因此没有那么多知识来设置良好的仪表板。
你们中有没有人有设置 kibana 来分析 apache 访问日志的经验,可以给我一些关于如何设置富有表现力的仪表板的提示,或者可以给我一个示例仪表板作为模型使用?
塞巴斯蒂安,感谢您的帮助、时间和问候
您 运行 遇到的基本问题是默认情况下字符串 analyzed -- 这是您在文本搜索引擎中想要的,但不是您在分析类型中想要的情况。在加载之前,您需要将字段设置为 not_analyzed。
如果您使用 logstash 1.3.1 或更高版本加载数据,您应该能够将字段更改为 server_node.raw(参见 http://www.elasticsearch.org/blog/logstash-1-3-1-released/):
Most folks, in this situation, sit and scratch their heads, right? I know I did the first time. I’m pretty certain “docs” and “centralized” aren’t valid paths on the logstash.net website! The problem here is that the pie chart is built from a terms facet. With the default text analyzer in elasticsearch, a path like “/docs/1.3.1/filters/” becomes 3 terms {docs, 1.3.1, filters}, so when we ask for a terms facet, we only get individual terms back!
Index templates to the rescue! The logstash index template we provide adds a “.raw” field to every field you index. These “.raw” fields are set by logstash as “not_analyzed” so that no analysis or tokenization takes place – our original value is used as-is! If we update our pie chart above to instead use the “request.raw” field, we get the following:
我是 ELK Stack 的新手,正在尝试设置一个仪表板来分析我的 apache 访问日志。设置环境并显示我的日志文件中的数据都有效。但似乎 Kibana 错误地使用空格(以及在另一个仪表板中的冒号和减号)作为分隔符。
前两张截图显示我的属性"server_node"里面的信息是正确的。
遗憾的是,这表明每个 space-sign 都用作分隔符。因此,在 server_node 中看到的 "Tomcat Website Prod 1" 或 "Tomcat Website Prod 2" 条目太多,因此伪造了我的图表。
这是我的小部件设置。如前所述,我是 ELK 的新手,因此没有那么多知识来设置良好的仪表板。
你们中有没有人有设置 kibana 来分析 apache 访问日志的经验,可以给我一些关于如何设置富有表现力的仪表板的提示,或者可以给我一个示例仪表板作为模型使用?
塞巴斯蒂安,感谢您的帮助、时间和问候
您 运行 遇到的基本问题是默认情况下字符串 analyzed -- 这是您在文本搜索引擎中想要的,但不是您在分析类型中想要的情况。在加载之前,您需要将字段设置为 not_analyzed。
如果您使用 logstash 1.3.1 或更高版本加载数据,您应该能够将字段更改为 server_node.raw(参见 http://www.elasticsearch.org/blog/logstash-1-3-1-released/):
Most folks, in this situation, sit and scratch their heads, right? I know I did the first time. I’m pretty certain “docs” and “centralized” aren’t valid paths on the logstash.net website! The problem here is that the pie chart is built from a terms facet. With the default text analyzer in elasticsearch, a path like “/docs/1.3.1/filters/” becomes 3 terms {docs, 1.3.1, filters}, so when we ask for a terms facet, we only get individual terms back!
Index templates to the rescue! The logstash index template we provide adds a “.raw” field to every field you index. These “.raw” fields are set by logstash as “not_analyzed” so that no analysis or tokenization takes place – our original value is used as-is! If we update our pie chart above to instead use the “request.raw” field, we get the following: