当我通过“条款”选择汇总并打开“字段”下拉列表时,我有一个“消息”字段,该字段未出现在kibana中。
可悲的是,我是ES的初学者,但我猜它可能与映射有关。以下是查询“GET logstash-2017.02.17”结果的开头(是否与“message_field”部分有关)?:
{
"logstash-2017.02.17": {
"aliases": {},
"mappings": {
"_default_": {
"_all": {
"enabled": true,
"norms": false
},
"dynamic_templates": [
{
"message_field": {
"path_match": "message",
"match_mapping_type": "string",
"mapping": {
"norms": false,
"type": "text"
}
}
},
{
"string_fields": {
"match": "*",
"match_mapping_type": "string",
"mapping": {
"fields": {
"keyword": {
"type": "keyword"
}
},
"norms": false,
"type": "text"
}
}
}
],
"properties": {
"@timestamp": {
"type": "date",
"include_in_all": false
},
您可能已经猜到数据全部通过logstash进入。在大多数情况下,当您使用logstash grok过滤器时,默认情况下会创建消息字段。但是,我有其他logstash管道,我专门将数据分配给消息字段。