filebeat可以将日志信息拆分为多个字段吗?

通过filebeat将日志文件导入elasticsearch后,打开kibana可以看到存储下来的一条条日志信息,但是日志文件的内容都被放到了一个叫"message"的域中,请问有什么办法可以定制地将它拆解为多个域呢?
譬如,一条日志信息的内容为:
“2018-02-05 09:39:55.730 ERROR [main][MyAPP3.java:19] - 这是1”,
那有什么办法能把里面的日志产生时间、日志等级、产生的线程等拆解为单独的一个个域。
2018-02-05_111123.png
已邀请:

luohuanfeng

赞同来自:

得用logstash grok吧

zhttttttttttt

赞同来自:

可以拆分为多个字段,你看下自定义模板。
https://www.elastic.co/guide/e ... .html

dj

赞同来自:

楼主这个问题解决了么

a505100745

赞同来自:

楼主这个问题解决了吗?

JElbert - es菜鸟选手

赞同来自:

ELK  别把L的环节弄丢了  解析日志要用Logstash

touch1943

赞同来自:

楼主先把elk整个技术栈的文档看看,这个问题都不能称之为问题。 字段拆分用logstash 或者ingest node啊

imp

赞同来自:

用Rubydebug格式  解析日志 

要回复问题请先登录注册