看,灰机...

在es的pattern/mapping里添加了message字段,为什么值为空?

Elasticsearch | 作者 xiaolou | 发布于2019年08月30日 | 阅读数:616

filebeat+elasticsearch+kibana6.5.4
用filebeat采集nginx日志,用自带的module/nginx解析日志,期望能在kibana看到解析之前完整的message,于是在模板的mapping里添加mesage字段,但是在kibana上看到nginx.access.message的值为空,请问应该如何配置才能看到解析前的日志?
1.png 2.png
已邀请:

Ombres

赞同来自:

看了你的另外一个帖子,我觉得有必要说一下filebeat是如何工作的。
 
filebeat收集信息,不进行加工,在传给es的时候会调用es的_ingest的pipeline,比如你的Nginx的pipeline,加工之后存到索引中。
 
在另外一个帖子中你也看到了remove那段代码,这里我猜测你修改了filebeat的那个文件,但是没有修改es中对应的pipeline,导致在数据处理的时候依然把message这个字段移除掉了。
 
因此建议你检查一下pipeline,然后修改它,再测试一下效果,希望能帮到你

要回复问题请先登录注册