为什么图标标识的字段是“?”而不是像官方示例那样的't'?
Why the icon identification's field is a '?' and not 't' like the official example is?
我是 Kibana 的新手。
我有以下问题:我通过 logstash 发送到 elasticsearch 的字段在 "Visualizes" 上的许多情况下都不能使用,我注意到它们标有“?”而不是像官方字段那样的't'。
官方字段指的是
定义的字段
filter => {message => "%{COMBINEDAPACHELOG}"}
于 logstash.conf。
当我使用:
filter => {"message" => "%{TIMESTAMP_ISO8601:timelog} %{INT:id} %{QUOTEDSTRING:status} %{NUMBER:rkey} %{QUOTEDSTRING:origin} %{QUOTEDSTRING:resource} %{QUOTEDSTRING:result} %{QUOTEDSTRING:statuselastic} %{QUOTEDSTRING:statusmongo} %{QUOTEDSTRING:statusmkp} %{QUOTEDSTRING:my_message} %{TIMESTAMP_ISO8601:created_at} %{TIMESTAMP_ISO8601:last_update}"}
那么,我的字段标有“?”并且不能用于 "Visualizes".
这是版画:
我已经尝试使用 "mapping" 设置 "type" 属性。但没有成功。
我也尝试编辑 "Management" -> "Index Patterns" 上的字段,但标有“?”的字段也没有。
进入索引设置并点击右上角的重新加载按钮(就在红色垃圾桶旁边——如果将鼠标悬停在上面,它会显示刷新字段列表)。如果在将索引添加到 kibana 之后将字段添加到索引,则 kibana 不会自动看到新字段。你必须让它知道发生了一些变化。
我是 Kibana 的新手。
我有以下问题:我通过 logstash 发送到 elasticsearch 的字段在 "Visualizes" 上的许多情况下都不能使用,我注意到它们标有“?”而不是像官方字段那样的't'。
官方字段指的是
定义的字段filter => {message => "%{COMBINEDAPACHELOG}"}
于 logstash.conf。
当我使用:
filter => {"message" => "%{TIMESTAMP_ISO8601:timelog} %{INT:id} %{QUOTEDSTRING:status} %{NUMBER:rkey} %{QUOTEDSTRING:origin} %{QUOTEDSTRING:resource} %{QUOTEDSTRING:result} %{QUOTEDSTRING:statuselastic} %{QUOTEDSTRING:statusmongo} %{QUOTEDSTRING:statusmkp} %{QUOTEDSTRING:my_message} %{TIMESTAMP_ISO8601:created_at} %{TIMESTAMP_ISO8601:last_update}"}
那么,我的字段标有“?”并且不能用于 "Visualizes".
这是版画:
我已经尝试使用 "mapping" 设置 "type" 属性。但没有成功。 我也尝试编辑 "Management" -> "Index Patterns" 上的字段,但标有“?”的字段也没有。
进入索引设置并点击右上角的重新加载按钮(就在红色垃圾桶旁边——如果将鼠标悬停在上面,它会显示刷新字段列表)。如果在将索引添加到 kibana 之后将字段添加到索引,则 kibana 不会自动看到新字段。你必须让它知道发生了一些变化。