0
我正在使用Filebeat将日志发送到Logstash,然后发送到Elasticsearch和Kibana。 因为日志的每一行都包含由'###'定界的值,所以我使用'dissect'过滤器将单个消息块分成不同的字段。我的过滤器配置:Logstash解剖过滤器映射到未定义类型
dissect {
mapping => {
"message" => "%{date} %{time}###%{mode}###%{spec}###%{userid}### ..."
}
remove_field => [ "message" ]
}
因此,我剖析并删除原来的消息对象。它可以工作,但它将它映射到'undefined'类型的关键字 如下面的屏幕截图所示,它将'?'在Kibana的领域旁边。
我怎样才能确保它剖析键入“串”或“文本”?现在不可能将这些数据可视化,因为它不适用于'未定义'类型。