Logshash grok pattern字段沒有出現在Kibana

Question

我最近一直在研究ELK作爲潛在的日誌/監控解決方案。我已經建立並運行了堆棧，並且我正在開始通過grok過濾日誌。

是否可以讓你的grok模式的特定部分在Kibana中顯示爲字段？

例如，採取以下方式：

​​

我希望（從我讀）「用戶」應該成爲Kibana可用字段，我能夠搜索/過濾結果上？我完全誤解了還是錯過了鏈條中的重要環節？

完全神交模式：

multiline { 
     patterns_dir => "/home/samuel/logstash/grok.patterns" 
     pattern => "(^%{SAMSLOG})" 
     negate => true 
     what => "previous" 
    } 

謝謝 山姆

Answer 1

是，logstash的整個「神奇」是採取非結構化數據並從中結構域。所以，你的基本前提是正確的。

你缺少的是multiline {}是一個過濾器，用於將多個輸入行組合成一個事件;基本上它就是這樣。這裏的「模式」字段用於識別何時應該開始新行。

爲了使某個事件不在字段中，您需要使用grok {}過濾器。