Logshash grok pattern字段没有出现在Kibana

Question

我最近一直在研究ELK作为潜在的日志/监控解决方案。我已经建立并运行了堆栈，并且我正在开始通过grok过滤日志。

是否可以让你的grok模式的特定部分在Kibana中显示为字段？

例如，采取以下方式：

​​

我希望（从我读）“用户”应该成为Kibana可用字段，我能够搜索/过滤结果上？我完全误解了还是错过了链条中的重要环节？

完全神交模式：

multiline { 
     patterns_dir => "/home/samuel/logstash/grok.patterns" 
     pattern => "(^%{SAMSLOG})" 
     negate => true 
     what => "previous" 
    } 

谢谢 山姆

Answer 1

是，logstash的整个“神奇”是采取非结构化数据并从中结构域。所以，你的基本前提是正确的。

你缺少的是multiline {}是一个过滤器，用于将多个输入行组合成一个事件;基本上它就是这样。这里的“模式”字段用于识别何时应该开始新行。

为了使某个事件不在字段中，您需要使用grok {}过滤器。