如何删除 json。我的 elasticsearch 字段上的前缀
How to remove the json. prefix on my elasticsearch field
我使用 ELK 来获取有关我的 rabbitmq 东西的一些信息。
这是我的 conf logstash 端
json {
source => "message"
}
但在 kibana 中,我必须在所有字段前加上 json.xxx 前缀:
json.sender, json.sender.raw,json.programld, json.programId.raw ...
我怎样才能不在我的字段名称中使用这个json.-前缀,这样我只需要有:sender、programId等?
致以最诚挚的问候,感谢您的帮助!
奖金问题:这些都是什么。'raw'我必须在 kibana 中使用吗?
根据the doc:
By default it will place the parsed JSON in the root (top level) of
the Logstash event, but this filter can be configured to place the
JSON into any arbitrary event field, using the target configuration.
所以感觉你的 json 被包裹在一个名为 "json" 的容器中,或者你在 logstash 中设置 "target" 而没有向我们展示。
至于“.raw”,默认的elasticsearch mapping会分析你在一个字段中放入的数据,所以把“/var/log/messages”改成三个词:[var, log, messages]”可以使很难搜索。为了让您不必在开始时担心这一点,logstash 会为每个字符串创建一个“.raw”版本,不对其进行分析。
您最终会制作自己的映射,并且您可以制作原始字段 not_analyzed,因此您将不再需要 .raw 版本。
我使用 ELK 来获取有关我的 rabbitmq 东西的一些信息。 这是我的 conf logstash 端
json {
source => "message"
}
但在 kibana 中,我必须在所有字段前加上 json.xxx 前缀: json.sender, json.sender.raw,json.programld, json.programId.raw ...
我怎样才能不在我的字段名称中使用这个json.-前缀,这样我只需要有:sender、programId等?
致以最诚挚的问候,感谢您的帮助!
奖金问题:这些都是什么。'raw'我必须在 kibana 中使用吗?
根据the doc:
By default it will place the parsed JSON in the root (top level) of the Logstash event, but this filter can be configured to place the JSON into any arbitrary event field, using the target configuration.
所以感觉你的 json 被包裹在一个名为 "json" 的容器中,或者你在 logstash 中设置 "target" 而没有向我们展示。
至于“.raw”,默认的elasticsearch mapping会分析你在一个字段中放入的数据,所以把“/var/log/messages”改成三个词:[var, log, messages]”可以使很难搜索。为了让您不必在开始时担心这一点,logstash 会为每个字符串创建一个“.raw”版本,不对其进行分析。
您最终会制作自己的映射,并且您可以制作原始字段 not_analyzed,因此您将不再需要 .raw 版本。