Поле с образцом геостатистики Logstash не отображается в Kibana

Question

Я недавно изучал ELK как потенциальное решение для регистрации/мониторинга. У меня установлен стек и работает, и я начинаю фильтровать журналы через grok.

Возможно ли, чтобы определенная часть вашего шаблона grok отображалась как поле в Кибане?

Например, возьмем следующую закономерность:

SAMSLOG %{HOUR}:%{MINUTE}:%{SECOND} \[%{USERNAME:user}\] - %{JAVALOGMESSAGE} 

Я надеялся (и от того, что я читал) «пользователь» должен стать доступное поле в Kibana, что я в состоянии поиска/фильтрации результатов на? Я полностью неправильно понял или мне не хватает жизненной ссылки в цепочке?

Полный Grok картина:

multiline { 
     patterns_dir => "/home/samuel/logstash/grok.patterns" 
     pattern => "(^%{SAMSLOG})" 
     negate => true 
     what => "previous" 
    } 

Спасибо, Сэм

Answer 1

Да, вся «магия» из logstash это взять неструктурированные данные и сделать структурированные поля из него. Итак, ваша основная предпосылка верна.

Недостаточно то, что многострочный {} - это фильтр, который используется для объединения нескольких входных строк в одно событие; это в основном все, что он делает. Поле «шаблон» используется для идентификации начала новой строки.

Чтобы сделать поля вне события, вам нужно будет использовать фильтр grok {}.