ES Mapping无法拆分日志字段,日志放入message字段问题解决

最新推荐文章于 2023-05-19 10:31:24 发布
最新推荐文章于 2023-05-19 10:31:24 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: Linux命令及服务部署
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oMangGuoBuDing1/article/details/98845772
版权

logstash配置,之前映射添加后不不能拆分字段所有接受的日志文本都入到一个message字段中,
反复尝试了4天左右都找不到原因,我觉得字段拆分是mapping负责的,这个技术研究都有点绝望了。在网上搜索
我看到文章中出现


filter {
      json {
        source => "message"
        remove_field => [ "message"]
    }
}


大概意思就是移除最外层的message
我觉得他有可能是这个问题的解决方式,试一下这个可以成功把日志按照mapping中指定的字段拆分出来了

input {
  kafka{
        bootstrap_servers =>["192.168.1.70:9092,192.168.1.71:9092,192.168.1.72:9092"]
        topics => ["web-log"]
        auto_offset_reset => "earliest"
  }
}
filter {
      json {
        source => "message"
        remove_field => [ "message"]
    }
}

 

康康爹
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
arcgis-elasticSearch-es-矢量数据插件-数据建模-mapping-indexsetting-字段映射
06-29
arcgis elasticSearch es 矢量数据插件 数据建模 mapping indexsetting 字段映射 索引建模支持geoshape、shape,text索引支持keyword/ngram/edgeNgram/ikSmart,快速导,兼容multipolygon,带洞,多面,使用时...
ELK系列(5) - Logstash怎么分割字符串并添加新的字段到Elasticsearch
weixin_30402343的博客
05-13 1764
问题 有时候我们想要在Logstash里对收集到的日志等信息进行分割,并且将分割后的字符作为新的字符来index到Elasticsearch里。假定需求如下: Logstash收集到的日志字段message的值是由多个字段拼接而成的,分隔符是;,;,如下: { "message": "key_1=value_1;,;key_2=value_2" } 现在想要将message的值拆...
logstash java 日志过滤拆分规则
ice_bird的专栏
05-19 465
logstash java 日志过滤拆分规则。
elasticsearch索引按日期拆分和定期删除
ke7025的博客
09-03 4757
ES索引按日期拆分和定期删除,并且不影响原搜索逻辑
五分钟带你玩转Elasticsearch(十七)企业实战——logstash拆分message
小鲍侃java
01-20 5675
楼主这有一个需求:搜索日志跟分为:接口名,参,请求类型等字段返回 这里使用了grok /logstash/bin下的配置文件 DATA:为文字类型 不包含_,:等特殊符号 GREEDYDATA:为文字类型 可以包含_,:等符号 注意:如果时间类型 如2021-01-19 17:28:41匹配不到 ,需要更改为GREEDYDATA grok { match => {"message" => "\|%{DATA:userName}\|%{GREEDYDATA
Logstash原理解析及实践
不积跬步无以致千里 不积小流无以成江海
03-02 1263
目录 Logstash概念 Logstash工作过程 Logstash简单实践 Logstash配置语法 数据类型 条件判断 Logstash插件 Input模块 标准输 File插件 Http插件 Redis插件 Filter模块 Date插件 Grok插件 Dissect插件 Mutate插件 Json插件 Geoip插件 Output模块 标准输出 redis插件 elasticsearch插件 Logstash配置实例 Flume Flume的外
Elasticsearch(015):es常见的字段映射类型之数字类型(numeric)
01-07
es支持一下long, integer, short, byte, double, float, half_float, scaled_float常见的数字类型。 示例 #给example索引添加字段映射,默认docs类型 PUT example/docs/_mapping { properties: { id:{ type:long...
arcgis-elasticSearch-es-矢量数据插件-数据建模-字段映射-mapping-indexsetting
最新发布
06-30
arcgis elasticSearch es 矢量数据插件 数据建模 mapping indexsetting 字段映射 索引建模支持geoshape、shape,text索引支持keyword/ngram/edgeNgram/ikSmart,快速导,兼容multipolygon,带洞,多面,使用时...
ElasticSearch Mapping
01-07
备注:Dynamic Mapping ,设置不恰当可能导致字段无法被索引。 4)Mapping 类型的自动识别 5)通过设置dynamic控制Dynamic Mapping 6) 能否修改Mapping字段的类型 二、Demo 7)常规Mapping添加删除 #写文档,...
ABAP JSON 字段名映射 name_mappings 大写 小写 驼峰.txt
09-26
ABAP JSON 字段名映射 name_mappings支持字段名大写,小写,驼峰等。 完整代码,可以直接运行。
Logstash概念与原理、与Flume的对比
Flytiger
07-01 2万+
Logstash概念 Logstash是一款开源的数据收集引擎,具备实时管道处理能力。简单来说,logstash作为数据源与数据存储分析工具之间的桥梁,结合ElasticSearch以及Kibana,能够极大方便数据的处理与分析。通过200多个插件,logstash可以接受几乎各种各样的数据。包括日志、网络请求、关系型数据库、传感器或物联网等等。 Logstash工作过程 如上图,Logst...
Logstash处理json根式日志文档的三种方式
为一个人走几座城
05-19 1980
假设日志文件中的每一行记录格式为json的,如:{"Method":"JSAPI.JSTicket","Message":"JSTicket:kgt8ON7yVITDhtdwci0qeZg4L-Dj1O5WF42Nog47n_0aGF4WPJDIF2UA9MeS8GzLe6MPjyp2WlzvsL0nlvkohw","CreateTime":"2015/10/13 9:39:59",&am
es未测试问题
Devops学习旅途
12-06 160
logstash从kafka取数据输出到eslogstash中的match可以改成日志的正则信息 input { kafka { bootstrap_servers => ["192.168.13.139:9092"] client_id => "test" group_id => "test" auto_offset_reset =&g...
Message定义-更新Message类型原则
weixin_33951761的博客
09-12 258
Message-以下统一翻译为消息。 当一个已经存在的消息类型不能满足需要时:如需要定义新的field(字段),但又不想改动以前的代码,则你只需要遵守以下原则即可: 不要改变原有字段的标签 所有新字段用optional或repeated修饰,而不是required,并且为每个新加字段设置默认值,如对于string类型字段[default = ""] 不要移除任何使用required修饰...
Logstash日志字段拆分grok
weixin_33790053的博客
04-24 4319
参考和测试网站:http://grokdebug.herokuapp.com 例如:test-39.dev.abc-inc.com Mon Apr 24 13:53:58 CST 2017 2017-04-16 23:37:44,282 [DEBUG] add service:com.abc.open.nlp.facade.NLPService 正则表达式过滤为:%{HOSTNAME:host...
filebeat+elasticsearch管道提取message字段
zbh1957282580的博客
05-25 2940
1:个人使用背景:filebeat采集日志es的时候,日志内容在message字段中,因为其中添加了tid字段,要提取出projectname,date,tid等这些字段,采用管道对数据进行预处理,格式化数据,重新构建了索引,最后查询,排序,条件查询什么的都直接操作字段就可以了。 ps:原理什么的就不说了,目标就是能直接操作下来,实际点。 第一步:首先要创建管道pipeline.json文件 1)touch一个pipeline.json文件,具体路径最好是跟日志文件一起(自己决定吧...
关于ES数据存在某个字段却查询不到的问题修复记录
ljx950928的博客
01-09 7105
关于es查询数据中存在某字段却查不到的问题解决办法
ElasticSearch 新增表字段
热门推荐
yexiaojiu1的博客
03-16 3万+
1.新增表字段(Elasticsearch中的mapping一旦创建,就不容易再修改。但是添加字段是可以的)::PUT my_index/_mapping/my_type {   "properties": {     "new_column": {       "type":     "integer"     }   } }2.修改表字段的方法http://www.cnblogs.com/C...
elasticsearch查mapping时如何按字段类型筛选查看
06-06
要按字段类型筛选查看 Elasticsearch 的 Mapping,可以使用 Mapping API 中的 `properties` 参数,并在其中指定要查看的字段类型。 具体操作如下: 1. 发送以下 GET 请求以获取索引的 Mapping: ```bash GET /...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值