elasticsearch - ELK仪表板显示错误的数据/结果

Question

我是ELK Stack的新手，正在尝试设置一个仪表板来分析我的Apache访问日志。设置环境并显示我的日志文件中的数据全部正常。但是似乎Kibana错误地使用了空格(在另一个仪表板冒号和减号)作为分隔符。

前两个屏幕截图显示了我的属性“server_node”中的信息是正确的。


可悲的是，这表明每个空格符号都用作分隔符。因此，代替在server_node中看到的“Tomcat Website Prod 1”或“Tomcat Website Prod 2”，条目太多了，因此伪造了我的图。

这是我的小部件设置。如前所述，我是ELK的新手，因此没有足够的知识来设置好的仪表板。

你们中的任何人是否有设置kibana来分析apache访问日志的经验，可以给我提示如何设置表达性仪表板，或者可以给我提供示例样板作为模型使用？

感谢您的帮助，时间和问候，塞巴斯蒂安

Answer 1

您遇到的基本问题是，默认情况下字符串是analyzed －这是您在文本搜索引擎中想要的，而不是您在分析类型的情况下想要的。您需要先将该字段设置为not_analyzed，然后再加载。

如果您使用logstash 1.3.1或更高版本来加载数据，则应该能够将字段更改为server_node.raw(请参阅http://www.elasticsearch.org/blog/logstash-1-3-1-released/):

Most folks, in this situation, sit and scratch their heads, right? I know I did the first time. I’m pretty certain “docs” and “centralized” aren’t valid paths on the logstash.net website! The problem here is that the pie chart is built from a terms facet. With the default text analyzer in elasticsearch, a path like “/docs/1.3.1/filters/” becomes 3 terms {docs, 1.3.1, filters}, so when we ask for a terms facet, we only get individual terms back!

Index templates to the rescue! The logstash index template we provide adds a “.raw” field to every field you index. These “.raw” fields are set by logstash as “not_analyzed” so that no analysis or tokenization takes place – our original value is used as-is! If we update our pie chart above to instead use the “request.raw” field, we get the following: