软件版本:7.12
运行环境:centos7.2我搭建的Elastic Stack的架构是filebeat-kafka-logstash-elasticsearch-kibana,实际使用之后发现,在kibana上查看日志信息,在message外面还有一个message,里面那层个message才是我日志的内容,同时还有两个timestamp,感觉就像filebeat搜集日志之后,中间过程又给整个数据外面包了一层。原日志信息因为管控的原因无法贴源码,我大致列一下看到的日志是什么样的:
timestamp:
version:
version.key:
message{ # 这是第一层的message
"@timestamp":
"@metadata": {xxxxx}
......
"message": "xxxxxxxx" # 这是第二层的message,这里的才是我真正的日志
......
}
tags: _grokparsefailure
运行环境:centos7.2我搭建的Elastic Stack的架构是filebeat-kafka-logstash-elasticsearch-kibana,实际使用之后发现,在kibana上查看日志信息,在message外面还有一个message,里面那层个message才是我日志的内容,同时还有两个timestamp,感觉就像filebeat搜集日志之后,中间过程又给整个数据外面包了一层。原日志信息因为管控的原因无法贴源码,我大致列一下看到的日志是什么样的:
timestamp:
version:
version.key:
message{ # 这是第一层的message
"@timestamp":
"@metadata": {xxxxx}
......
"message": "xxxxxxxx" # 这是第二层的message,这里的才是我真正的日志
......
}
tags: _grokparsefailure
0 个回复