ES Mapping无法拆分日志字段,日志放入message字段问题解决

最新推荐文章于 2023-05-19 10:31:24 发布
最新推荐文章于 2023-05-19 10:31:24 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: Linux命令及服务部署
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oMangGuoBuDing1/article/details/98845772
版权

logstash配置,之前映射添加后不不能拆分字段所有接受的日志文本都入到一个message字段中,
反复尝试了4天左右都找不到原因,我觉得字段拆分是mapping负责的,这个技术研究都有点绝望了。在网上搜索
我看到文章中出现


filter {
      json {
        source => "message"
        remove_field => [ "message"]
    }
}


大概意思就是移除最外层的message
我觉得他有可能是这个问题的解决方式,试一下这个可以成功把日志按照mapping中指定的字段拆分出来了

input {
  kafka{
        bootstrap_servers =>["192.168.1.70:9092,192.168.1.71:9092,192.168.1.72:9092"]
        topics => ["web-log"]
        auto_offset_reset => "earliest"
  }
}
filter {
      json {
        source => "message"
        remove_field => [ "message"]
    }
}

 

康康爹
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
arcgis-elasticSearch-es-矢量数据插件-数据建模-mapping-indexsetting-字段映射
06-29
arcgis elasticSearch es 矢量数据插件 数据建模 mapping indexsetting 字段映射 索引建模支持geoshape、shape,text索引支持keyword/ngram/edgeNgram/ikSmart,快速导,兼容multipolygon,带洞,多面,使用时...
Elasticsearch(015):es常见的字段映射类型之数字类型(numeric)
01-07
es支持一下long, integer, short, byte, double, float, half_float, scaled_float常见的数字类型。 示例 #给example索引添加字段映射,默认docs类型 PUT example/docs/_mapping { properties: { id:{ type:long...
五分钟带你玩转Elasticsearch(十七)企业实战——logstash拆分message
小鲍侃java
01-20 5675
楼主这有一个需求:搜索日志跟分为:接口名,参,请求类型等字段返回 这里使用了grok /logstash/bin下的配置文件 DATA:为文字类型 不包含_,:等特殊符号 GREEDYDATA:为文字类型 可以包含_,:等符号 注意:如果时间类型 如2021-01-19 17:28:41匹配不到 ,需要更改为GREEDYDATA grok { match => {"message" => "\|%{DATA:userName}\|%{GREEDYDATA
Logstash日志字段拆分grok
weixin_33790053的博客
04-24 4319
参考和测试网站:http://grokdebug.herokuapp.com 例如:test-39.dev.abc-inc.com Mon Apr 24 13:53:58 CST 2017 2017-04-16 23:37:44,282 [DEBUG] add service:com.abc.open.nlp.facade.NLPService 正则表达式过滤为:%{HOSTNAME:host...
logstash java 日志过滤拆分规则
ice_bird的专栏
05-19 464
logstash java 日志过滤拆分规则。
logstash处理nginx日志时,字段总是进不到ES里面,那就是你grok语句写错了!
u012452555的博客
07-08 689
nginx的access日志logstash在配ngrok的时候,最初用的是COMBINEDAPACHELOG,听说是写好的匹配nginx日志,就打算拿来直接用。 把logstash跑起来就发现,字段es里去,message却是有的,仔细看tag标签有个提示:_grokparsefailure。哦,原来ngrok报错了。 想想也是。elastic家也有责任必须匹配nginx那么准确,nginx升个级什么的,COMBINEDAPACHELOG也不能保证更新。 其实nginx默认的log_.
es未测试问题
Devops学习旅途
12-06 160
logstash从kafka取数据输出到eslogstash中的match可以改成日志的正则信息 input { kafka { bootstrap_servers => ["192.168.13.139:9092"] client_id => "test" group_id => "test" auto_offset_reset =&g...
arcgis-elasticSearch-es-矢量数据插件-数据建模-字段映射-mapping-indexsetting
最新发布
06-30
arcgis elasticSearch es 矢量数据插件 数据建模 mapping indexsetting 字段映射 索引建模支持geoshape、shape,text索引支持keyword/ngram/edgeNgram/ikSmart,快速导,兼容multipolygon,带洞,多面,使用时...
ElasticSearch Mapping
01-07
备注:Dynamic Mapping ,设置不恰当可能导致字段无法被索引。 4)Mapping 类型的自动识别 5)通过设置dynamic控制Dynamic Mapping 6) 能否修改Mapping字段的类型 二、Demo 7)常规Mapping添加删除 #写文档,...
ABAP JSON 字段名映射 name_mappings 大写 小写 驼峰.txt
09-26
ABAP JSON 字段名映射 name_mappings支持字段名大写,小写,驼峰等。 完整代码,可以直接运行。
es 对已存在的index增加字段schema
祁东握力的博客
09-01 700
增加bring_product_category字段 PUT awemes/_mapping/origin { "origin": { "properties" : { "bring_product_category" : { "properties" : { "big" : { "type" : "keyword" },
logstash如何将kakfa合并的数据拆分然后写ES
sxf_123456的博客
08-03 2179
kafka数据:{ {"cluster":"qy_api_v2_pool","body_bytes_sent":"8579","http_versioncode":"Android_32"}\n {"cluster":"qy_api_v2_pool","body_bytes_sent":"8579","http_versioncode":"Android_33"}\n {"cluster":
聚合查询,字段拆分解决办法!
weixin_30699955的博客
03-21 431
如题:我要聚合查询的字段是一段网址上下文,如:/aaa/bbb/ccc。此时es在聚合查询时把我的字段拆分了!变成了单独的aaa,bbb,ccc。 解决办法就是把字段类型改为keyword,不是要修改真实es字段类型,请看下文。 { "query": { "bool": { "filter": { ...
ElasticSearch 新增表字段
热门推荐
yexiaojiu1的博客
03-16 3万+
1.新增表字段(Elasticsearch中的mapping一旦创建,就不容易再修改。但是添加字段是可以的)::PUT my_index/_mapping/my_type {   "properties": {     "new_column": {       "type":     "integer"     }   } }2.修改表字段的方法http://www.cnblogs.com/C...
ELK系列(5) - Logstash怎么分割字符串并添加新的字段到Elasticsearch
weixin_30402343的博客
05-13 1763
问题 有时候我们想要在Logstash里对收集到的日志等信息进行分割,并且将分割后的字符作为新的字符来index到Elasticsearch里。假定需求如下: Logstash收集到的日志字段message的值是由多个字段拼接而成的,分隔符是;,;,如下: { "message": "key_1=value_1;,;key_2=value_2" } 现在想要将message的值拆...
elasticsearch索引按日期拆分和定期删除
ke7025的博客
09-03 4742
ES索引按日期拆分和定期删除,并且不影响原搜索逻辑
Message定义-更新Message类型原则
weixin_33951761的博客
09-12 258
Message-以下统一翻译为消息。 当一个已经存在的消息类型不能满足需要时:如需要定义新的field(字段),但又不想改动以前的代码,则你只需要遵守以下原则即可: 不要改变原有字段的标签 所有新字段用optional或repeated修饰,而不是required,并且为每个新加字段设置默认值,如对于string类型字段[default = ""] 不要移除任何使用required修饰...
关于ES数据存在某个字段却查询不到的问题修复记录
ljx950928的博客
01-09 7102
关于es查询数据中存在某字段却查不到的问题解决办法
elasticsearch使用es-head在已有索引中新增字段以及更新记录
qq_34382627的博客
03-17 4161
elasticsearch版本7.0,7.0版本有默认的type,8.0会彻底废弃 1、向索引idx_resource添加image_analyse字段,类型为text 语句: { “properties”:{ "image_analyse":{ "type":"text" } } } 2、向索引中更新某条数据的某个字段 :http://localhost:9200/index/type/id 其中index
elasticsearch查mapping时如何按字段类型筛选查看
06-06
要按字段类型筛选查看 Elasticsearch 的 Mapping,可以使用 Mapping API 中的 `properties` 参数,并在其中指定要查看的字段类型。 具体操作如下: 1. 发送以下 GET 请求以获取索引的 Mapping: ```bash GET /...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值