ELK入门(十六)——Kibana-Painless-Scripts-Fields,对索引字段提取处理,生成新的脚本化字段

最新推荐文章于 2024-04-25 09:33:49 发布
最新推荐文章于 2024-04-25 09:33:49 发布
阅读量2.8k 收藏 7
点赞数
分类专栏: ELK入门 文章标签: ELK painless kibana scripts
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Netceor/article/details/113930077
版权

一、前言

该方式是利用已有的数据,自定义提取其中的部分内容生成新字段,其好处是可以动态适应导入的数据,针对需求变化进行处理,而不用重新定义pipeline或用logstash重新过滤。并且,它可以说是专门为了可视化而设计,生成的字段是无法通过搜索等操作处理,但是生成DashBoard等可视化界面时有效

这是Kibana自带的功能,针对已经创建的Index Pattern,我们可以生成一个脚本化字段,利用ES专门的painless语言来处理,处理过程可以使用函数调用获取内容,也可以正则表达式匹配内容。

不过,正则表达式匹配很消耗资源,ES初始是默认关闭,需要在elasticsearch.yml配置文件中加入语句:

script.painless.regex.enabled: true

关于脚本化字段和正则表达式的使用,可参考以下链接。我主要是参考带★的两个链接,一个是官方给出的示例,一个是正则表达式的语句测试

官网:

脚本化字段介绍:https://www.elastic.co/guide/cn/kibana/current/scripted-fields.html

脚本化字段示例https://www.elastic.co/cn/blog/using-painless-kibana-scripted-fields(这个网站不知道为什么有时候会刷出空内容,多刷新几次就好了)

Painless语法:https://www.elastic.co/guide/en/elasticsearch/painless/7.10/index.html

菜鸟教程:

正则表达式菜鸟教程:https://www.runoob.com/regexp/regexp-tutorial.html

★正则表达式在线测试:http://c.runoob.com/front-end/854

正则表达式Matcher()函数调用APIhttps://www.elastic.co/guide/en/elasticsearch/painless/7.10/painless-api-reference.html(在该界面Ctrl+F搜索Matcher)

2020-11-21 00:19:47,459 INFO org.Executor: Deleting absolute path: [nice, -n, 0, bash, /sdada/appcache/application_315146546_156/contanier_fd4156_fdsafasdfasd/fsfs_dsa.sh]

以上是我想要匹配的语句【其中很多是我键盘随意打出的,只留下了需要匹配的信息】,主要计划提取的信息是:

application: application_315146546_156
 

信息存储在message字段中。即想要将application编号从message中提取并存储在新字段application中。

二、新建Scripts Fields

Stack Management→Index Patterns→选中要处理的索引(我处理的是myx-t1-*)→Scripted Fields→Add Scripted Fields

给新字段Name命为application,编辑Scripts语句,单击下方链接可以预览处理结果,由于我只是部分数据存在这些字段,因此前十条匹配为空。

1.方法一:查找子串下标,按长度提取(Name:application)

def path = doc['message.keyword'];
if (path != null) {
    path = path.toString();
    int lastSlashIndex = path.lastIndexOf('application');
    if (lastSlashIndex > 0) {
        return path.substring(lastSlashIndex,lastSlashIndex+31);
    }
}

该语句意义为:取message字段的数据,找到最后出现application的下标,如果下标存在(即找到该子串,否则返回值为-1),则将application字段赋值为从该下标开始到该下标后的31个字符(因为application编号字段长31个字符)。其他情况可以在if外加一句return null;不加可以,默认会赋为null

当语句修改后,单击Run script就可以刷新结果

2.方法二:正则表达式提取(Name:application_t1)

正则表达式在线测试页面,我们通过调试找到能够成功匹配的正则表达式

/application[_0-9]+/

于是,编译Scripts

def path = doc['message.keyword'];
if (path != null){
    path = path.toString();
    def m = /application[_0-9]+/.matcher(path);
    if (m.find()==true){
        return m.group(0);
    }
}
return "";

出现返回值则至少没有出现语法错误。

我们对字段进行创建保存,到Discover界面查看结果

三、查看生成结果

利用Scrips Field生成的字段是无法通过索引查询到的,主要在可视化DashBoard等界面使用。为此,我们可以想一些其他方法检索到相应的内容,例如以我的案例可以检索:在message中存在“application”字段的数据

等待更新,可以发现相应的application字段已经生成

 

问题小结:

1.First 10 results []

如果测试的结果显示仅仅为一个方括号,很大可能是匹配语法有问题,虽然此时没有报错,但是真正运行后无法产生结果。可以在Discover页面刷新,然后可能产生报错信息,进行细节的查看。

错误举例:

在下图中,预览结果没有报错,但是显示为[]

 

我们保存字段并到Discover页面刷新查看,单击右下角报出的错误警告,对应原因进行调试

 

2.doc['xxx'].value和doc['xxx']

一般来说,取内容的方式是doc['xxx'].value,但是我的message字段不知道为什么无法直接取value,只能通过doc['message.keyword']获取,并且获取完成后需要toString()转换才可以进行检索,而一般获取的内容并不需要格式转换。

当预览结果不显示时,这只是一种尝试方式,我目前还没有理解原理,有了解的欢迎和我交流~

3.can not write type [class java.util.regex.Matcher]

can not write type一般是一个类型问题,ES无法识别或者与输入输出的类型不匹配,我发生这个问题是因为在m=//.mathcer(test)之后,直接返回m,导致无法识别,正确的返回值应该是m.matches()【bool类型,返回值true/false,表示是否成功匹配】或是m.group(1),即返回匹配到的内容

def m = /pattern/.matcher(​​doc[''].value);
return m.matches()

# 或是
def m = /pattern/.matcher(​​doc[''].value);
if (m.matches()){
    return m.group(1)
}

4.正则表达式m.matches()返回false

 

 

 

参考博客:

Kibana: 如何在 Kibana 中生成 Scripted fields

Kibana scripted fields 使用

Netceor
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kibana设置脚本字段
无为而治
05-09 2954
官方文档 脚本字段设置 painless文档 scripting文档 标题代码调试 painless wiki 标题调试工具 test demo GET */_search { "query": { "match_all": { } }, "script_fields": { "spend_time": { "script": { ...
 Kibana:使用 Scripted fields 来提高数据的可观测性
Elastic 中国社区官方博客
07-23 3596
脚本字段根据 Elasticsearch 索引中的数据即时计算数据。 数据作为文档数据的一部分显示在 “Discover” 所展示的数据中,并且你可以在可视文件中使用脚本字段。 你可以使用 Kibana 查询语言查询脚本字段,并可以使用过滤器栏过滤它们。 脚本字段值是在查询时计算的,因此不会被索引,也无法使用 Kibana 默认查询语言进行搜索。 在我之前的文章 “Kibana: 如何在Kibana生成Scripted fields” 中,我已经展示了如何使用 Scripted fields 来
ELK技术介绍:背景、功能及应用场景全面解析
最新发布
weixin_54533548的博客
04-25 1549
ELK是由Elasticsearch、Logstash和Kibana三个开源软件组成的日志管理解决方案,这一组合在近年来得到了广泛的关注和应用。ELK的出现,源于大数据和云计算技术的快速发展,以及对高效日志管理的迫切需求。随着企业信息程度的提高,各类应用系统和服务器产生的日志数据量日益庞大,如何有效收集、处理、分析和利用这些日志数据,成为了企业和开发者面临的重要问题。传统的日志管理方式往往效率低下,无法满足实时性、可扩展性和易用性的需求。
Kibana:运用 script fields 对数据进行清洗
Elastic 中国社区官方博客
04-15 1837
在我的上一篇文章中,我详细地描述了如何使用 script fields 对搜索匹配的结果创建字段。这些字段的值基于 _source 或者 doc values 的值进行运算而形成的。在 Kibana 中,我们同样可以运用 scripted fields 来形成字段。我们甚至可以针对这些字段做数据分析。你可以详细地阅读我以前写过的文章: Kibana: 如何在 Kibana生成 Scripted fields Kibana:使用 Scripted fields 来提高数据的可观测性 在
Kibana: 如何在 Kibana生成 Scripted fields
Elastic 中国社区官方博客
11-29 5776
如果细心的读者阅读过我之前的文章“Elasticsearch:aggregation介绍”,就会发现在我之前的例子中,我有用到Script生成一个field,并对这个field进行聚合统计。当时是这样做的: GET sports/_search { "size": 0, "aggs": { "age_range": { "range": { "sc...
kibana4 Scripted fields字段单位转换功能
weixin_34197488的博客
03-07 273
kibana4报表功能很不错,但返现默认情况下fields不能显示单位,今天在这里讲讲kibana4 Scripted fields,效果图如下具体步骤:设置-->选择要显示的indices-->scripted fields-->Add scripted fileds创建个fs.totalk的fields,这个来源数据是fs.total创建后,我们在视...
k8s-elk:Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰
05-18
Kubernetes ELK-ElasticSearch,Kibana,Logstash和所有装饰该存储库当前包含ElasticSearch和Kibana配置。 ElasticSearch以3种形式运行。 第一个是“主”类型,这是ElasticSearch文档中的主类型。 第二种类型是...
kibana-7.3.0-linux-x86_64.tar.gz
08-19
用于部署ELk
kibana-6.2.4-linux-x86_64.tar.gz
05-15
kibana-6.2.4-linux-x86_64.tar.gz elk 组件之一开源实时日志分析ELK平台能够完美的解决我们上述的问题,ELK由ElasticSearch、Logstash和Kiabana三个开源工具组成
kibana-7.9.0-x86_64.zip
09-11
ELK”是三个开源项目的首字母缩写,这三个项目...Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视。我这里边有kibana-7.9.0-linux-x86_64的rpm和tar.gz的包,下载先解压出两个包在放到linux。
kibana-6.3.1-x86_64
08-07
kibana-6.3.1是Elasticsearch/Logstash/Kibana的必不可少成员
[Kibana]Scripted Field的用法
世上无难事,只要肯放弃
11-16 7434
举个例子:           假设Elasticsearch中有一条这样的数据:            {                  "_index" : "test-index",                  "_type" : "test1",                  "_id" : "tom",                  "_source":{"
Kibana:使用 Painless Lab 来测试代码
Elastic 中国社区官方博客
06-17 1764
在我之前的文章 “Elasticsearch:Painless scripting 编程实践” 中,我对 Painless 的编程做了一个介绍。Painless 的编程很强大,但是调试来说确实不是很容易。在我之前的文章 “Elasticsearch:Painless 编程调试” 有一些介绍关于如何进行调试。尽管如此,调试 Painless 有时不是一件非常容易的事。 在 Kibana 中,它集成了一个叫做 Painless Lab 的功能。Painless Lab 是一个交互式代码编辑器,可让你实时测试和
java代码实现自动提取ELK kibana日志平台)业务日志
junior77的专栏
12-24 3701
近期因进行项目全链路压测,需要对服务部分接口进行业务日志提取,用来做参数测试数据。据了解,服务日志存储于elk日志平台中。于是为了避免每次手工提取费时费事,且每次不能批量提取大量日志,决定使用脚本实现自动提取,并保存至特定目录文件中。 前提: elk日志平台地址 查询索引名 查询条件 以下为具体java代码,供参考: ImSearchExtractData类 package com.Fulllink.imsearch; import com.Fulllink.utils...
[ElasticSearch]painless脚本获取字段方式及性能比较
weixin_42484190的博客
04-04 808
2.通过params['_source']['fieldname']获取字段会获取到整个_source的json对象并从中获取字段,相比第1种,此种方式会相对较慢;例如在script_fields中,可以同时使用doc['fieldname']及params['_source']['fieldname']的方式。一般在进行查询时并需要对字段进行额外获取值,并利用值进行无状态操作时,更推荐使用此方式;1.通过doc['fieldname']获取字段,将会加载该字段的相关术语及字段值本身;
Kibana User Guide [4.2] » Settings » Managing Fields
wang_zhenwei的博客
11-23 1769
Managing Fields 管理字段 The fields for the index pattern are listed in a table. Click a column header to sort the table by that column. Click the Controls button in the rightmost column for a giv
ELK(kibana 部分)
weixin_40018205的博客
07-30 318
kibana 部分 map 映射 • mapping: – 映射:创建索引的时候,可以预先定义字段的类型及 相关属性。 – 作用:这样会让索引建立得更加的细致和完善。 – 分类:静态映射和动态映射。 – 动态映射:自动根据数据进行相应的映射。 – 静态映射:自定义字段映射数据类型。 [root@kibana logs]# pwd /etc/httpd/logs • kiban...
使用 Painless 脚本Kibana 中的 number 字段为日期格式
感叹号○的博客
07-11 501
使用 Painless 脚本Kibana 中的 number 字段为日期格式。
Kibana scripted fields 使用
u011181610的博客
10-31 8606
  scripted fields 是kibana提供动态的从指定列中提取指定字符串的功能,提取的数据可用于discover展示甚至可以用在visualize和Dashboard用于图标展示,功能极其强大。但是使用需要小心及慎重,它也是比较棘手的。 使用kibana过程中有时需要提取某个字段的部分值用于统计,例如提取message中的部分值,比如提取以下日志中的ip,可以使用script f...
User kibana-7.15.1使用
08-18
在安装过程中,可以通过创建一个非root用户来运行Kibana。首先,使用以下命令创建一个名为es_user的用户并将其添加到es用户组中: ``` groupadd es useradd es_user -g es ``` 然后,将elasticsearch-7.15.1和kibana...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值