Używamy ELK i wrzucamy wszystkie syslogi do Elasticsearch.
Mam typ dziennika, którego pole komunikatu wygląda następująco:
"message":"11/04/2016 12:04:09 PM|There are now 8 active connections#015"
Chciałbym użyć Kibany do przeanalizowania wiadomości, aby uzyskać liczbę aktywnych połączeń w czasie, a następnie wykreślić to w Kibanie.
Czy zastanawiam się, jak to zrobić poprawnie? Wydaje mi się, że czytanie, które już napisałem, nakazuje skonfigurować filtr w Logstash ... ale wydaje się, że to niewłaściwe miejsce do analizy pola komunikatu dla tego pojedynczego typu linii dziennika, biorąc pod uwagę ilość wiadomości / dzienników i wiadomości / typy logów wysyłane za pośrednictwem Logstash.
Czy istnieje sposób na przeanalizowanie pola komunikatu dla tego numeru, a następnie wykres, który liczy się w czasie w Kibanie?
Odpowiedzi:
1 dla odpowiedzi № 1Kibana nie jest przeznaczony do tego rodzaju analizy. Istnieje kilka opcji, których możesz użyć:
- Możesz napisać analizator analizujący ten ciąg. To może być zrobione, ale nie zrobiłbym tego w ten sposób.
- Użyj logstash, ale już to zasugerowałeś. Jeśli czujesz zapis logu jest ciężki i możesz wybrać wersję, której chcesz użyć, wybierz opcję trzecią.
- Użyj ingest, to nowa funkcja elastycznego wyszukiwania. To jest rodzaj lekki logstash, który jest wstępnie pakowany z elastycznym, to wzorce wsparcia z grokiem, które mogą to zrobić.