我可以使用Kibana来解析消息字段：

Question

我们使用ELK并将所有系统日志推送到Elasticsearch中。

我有一个日志类型一样，其消息字段的样子：

"message":"11/04/2016 12:04:09 PM|There are now 8 active connections#015" 

我想用Kibana解析消息随着时间的推移活跃连接数，然后图形在Kibana。

我在想如何正确地做到这一点？ 我所做的阅读似乎告诉我要在Logstash中设置一个筛选器......但是，如果给出消息/日志和消息的数量，那么对于此单个日志行类型来说，解析消息字段似乎是错误的地方/ log类型通过Logstash发送。

有没有一种方法来解析这个数字的消息字段，然后在基巴纳随着时间的推移计算出图表？

Answer 1

Kibana并不打算做这种解析。有几个选项可以使用：

1. 你可以编写一个分析器来分析这个字符串。它可以是 完成，但我不会这样做。
2. 使用logstash，但你已经建议你自己。如果你感觉 日志隐藏是沉重的，你可以选择使用的版本， 去选项三。
3. 使用摄取，这是elasticsearch的一个新功能。这是一种 轻量级logstash，它与弹性预先打包在一起，它支持与grok的模式，可以做到这一点。