kibana做圖表無法選取需要選的字段,即通過term的方式過濾選擇某一個field時發現列表里無此選項。
再去discover里看,發現此字段前面帶有問號,點擊后提示這個字段未做索引,不能用於visualize和discover的搜索。
思考:
從源頭查起,日志是logstash收集上來的,猜想可能原因是logstash需要按照某些規則添加這個索引,於是把目光聚焦到logstash的filter
這里我用的是grok,猜測是不是在message匹配后需要再用add_field添加才行。
嘗試:
添加add_field后發現不行(確切的說是我add_field用的不太好,寫的不對),然后百度相關grok格式發現,不需要添加add_field即可把字段作搜索使用。
嘗試失敗。
再思考:
排除logstash,后面就是elasticsearch了,這個本身基本未做改動,排除,再就是kibana,突然想到看看之間寫的tomcat錯誤堆棧日志字段是否能正常可搜索,查看發現其日志字段時可以用的,反過頭再去比對了下logstash底層發現兩者寫法和patterns定義均無區別,到了這里基本可以確定為kibana的設置問題了。
嘗試:
查閱官方文檔kibana相關配置位置,嘗試查看了setting,果然發現在index里找到了相關項:
刷新后字段就被索引上了,相當於在kibana中如果索引建立后,再通過logstash添加新字段時,需要在這邊刷新以更新狀態(不知道重啟kibana是否有同樣效果,有時間可以嘗試)。
之后便可正常使用此字段了。
至此問題解決。
