日志格式:
2018-02-05 09:40:09.706 ERROR [main][MyAPP.java:21] - I am Ben
自定义的grok表达式:
(?<date>\d{4}-\d{2}-\d{2}) (?<time>\d{2}:\d{2}:\d{2}.\d{3}) (?<level>\D{3,5}) (?<where>\[\D*\]\[.*.java:\d*\]) - (?<msg>.*)
打开kibana,发现用自定义方式进行了结构化的数据字段都被"?"标记了,如图:
最后,来到视图的构建,发现这些被"?"标记的(自定义的)字段都不能用
譬如,"level"字段是自己定义的,就不能用,如图:
只要在框中输入"level",页面马上就报错说没有这个字段
又譬如,最常用的字段"@timestamp"是elastic系统自己添加的,就能被正常使用,如图:
如果解析出来的字段无法用来分析,那也是毫无意义的
是grok表达式的写法有问题吗?虚心求教!~~~
2018-02-05 09:40:09.706 ERROR [main][MyAPP.java:21] - I am Ben
自定义的grok表达式:
(?<date>\d{4}-\d{2}-\d{2}) (?<time>\d{2}:\d{2}:\d{2}.\d{3}) (?<level>\D{3,5}) (?<where>\[\D*\]\[.*.java:\d*\]) - (?<msg>.*)
打开kibana,发现用自定义方式进行了结构化的数据字段都被"?"标记了,如图:
最后,来到视图的构建,发现这些被"?"标记的(自定义的)字段都不能用
譬如,"level"字段是自己定义的,就不能用,如图:
只要在框中输入"level",页面马上就报错说没有这个字段
又譬如,最常用的字段"@timestamp"是elastic系统自己添加的,就能被正常使用,如图:
如果解析出来的字段无法用来分析,那也是毫无意义的
是grok表达式的写法有问题吗?虚心求教!~~~
2 个回复
i_love_elastic - 90后IT女
赞同来自:
dongne
赞同来自: