Мониторинг различных ошибок/журналов на 100 серверах

Question

У меня есть 100 серверов, на которых запущено приложение. Это приложение регистрирует некоторые важные сообщения. Я вытаскиваю все журналы в один экземпляр экстренного поиска.

например: «Условие А произошел из-за значения X», «Состояние B произошло из-за значения Y»

Я хочу, чтобы создать панель, где можно увидеть все те условия, которые произошли из-за какое значение и на какой машине.

например:

• Условие А - 100 раз за последние 60 минут
• Состояние B - 12 раз за последние 60 минут

И щелкать визуальный элемент при условии А, I чтобы увидеть дальнейший пробой

• Станок 1: Состояние А произошло из-за величины X 20 раз
• машина 2: Условие А произошла из-за значение U 10 раз, произошедших условие А из-за значение X 06 раз

Я попытался с помощью Kibana для этого, но не смогли выяснить правильные выражения REG.

Теперь я думаю, что я могу использовать неправильный инструмент в целом. Можете ли вы, ребята, вести меня в правильном направлении?

Answer 1

Вы, возможно, должны быть запрашивая на .raw поле, или просто используя анализируемый маркер в виде запроса:

например. message.raw: «текст по мере его появления» или сообщение: ключевое слово

Помимо этого, трудно сказать, не видя каких-либо реальных примеров. Но бит, который, скорее всего, отсутствует, - это некоторая обработка/извлечение в logstash или подобное, чтобы вытащить интересующие части. Помните, что Kibana не для извлечения даты из журналов, ее для извлечения информации из индексированных данных.