我有一个应用程序日志文件,由以下日志级别组成:INFO、WARN、ERROR、DEBUG。以下过滤条件在 Logstash 配置文件中运行良好:
filter {
grok {
match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL:log-level} \[%{DATA:thread_name}\]?-\[%{DATA:class}\] %{GREEDYDATA:message}" }
}
date {
match => ["timestamp", "yyyy-MM-dd HH:mm:ss,SSS"]
target => "@timestamp"
}
}
output {
elasticsearch { hosts => ["localhost:9200"] }
stdout { codec => rubydebug }
}
我可以在 Kibana 的“发现”视图中看到日志级别字段。但是,我希望按以下方式可视化我的应用日志:在给定时刻拆分垂直条,以显示在给定时刻有多少个 ERROR 日志、多少个 INFO 日志等。当我转到“可视化”选项卡并尝试执行“添加子存储桶”时,在 X 轴上“拆分条”,子聚合=“术语”;我在可选的“字段”选项下看不到字段:“日志级别”。您能帮我根据日志级别拆分条吗?谢谢。
答案1
刷新字段列表后,它起作用了。在 Kibana UI 上:管理 -> 索引模式 -> 单击“刷新字段列表”按钮