Как я могу добавить дополнительные поля в ELK Kibana

Я использую ELK с кибаной.

Я также использую filebeat для отправки данных в Logstash.

Я создал выглядит так

{
    "mappings": {  
    "_default_": {
                   "properties": {
                                 "msg":{"type":"string", "index":"not_analyzed"}
                                 }
                 },
    "log": {
                   "properties": {
                                 "@timestamp":{"type":"date","format":"strict_date_optional_time||epoch_millis"},
                                 "@version":{"type":"string"},
                                 "beat": {
                                     "properties": {
                                           "hostname":{"type":"string"}, 
                                           "name":{"type":"string"},
                                                    }
                                          },
                                 "count":{"type":"long"},
                                 "host":{"type":"string"},
                                 "input_type":{"type":"string"},
                                 "message":{"type":"string"},
                                 "msg":{"type":"string","index":"not_analyzed"},
                                 "offset":{"type":"long"},
                                 "source":{"type":"string"},
                                 "type":{"type":"string"}

                                 }
                 }
              }
}';

Я хочу знать, что, как и beat, есть 2 поля, такие как имя хоста и имя. Можно ли добавить больше полей, таких как environment: dev, которые я вижу в кибане, чтобы я мог фильтровать сообщения на основе этого


filebeat logstash
person Karl    schedule 04.07.2016    source источник

Ответы (1)


arrow_upward
1
arrow_downward

Да, вы можете указать дополнительные поля. в вашей filebeat.yml конфигурации. Эти новые поля будут созданы. У вас есть два варианта, вы можете указать fields и/или fields_under_root.

Если вы используете первый (см. ниже), в вашем документе появится новая подгруппа fields с вашими настраиваемыми полями, и вы сможете фильтровать сообщения с помощью fields.environment: dev в Kibana.

fields:
    environment: dev

Если вы используете последний вариант (см. ниже), ваши настраиваемые поля появятся на верхнем уровне документа, и вы сможете фильтровать сообщения с помощью environment: dev в Kibana.

fields_under_root: true
person Val    schedule 04.07.2016
comment
мне нужно что-то делать на стороне эластичного поиска, или на стороне logstash, или на стороне kibana, или только в filebeat.yml - person Karl; 04.07.2016
comment
Только в файле beat.yml. Делать больше нечего. - person baudsp; 04.07.2016
comment
fields_under_root является логическим значением, поэтому второй пример должен быть написан следующим образом: fields: environment: dev fields_under_root: true - person tsg; 04.07.2016