среднее значение поля внутри текста в кибане

Question

У меня есть несколько журналов в кибане с этим сообщением:

message: '{ "Type": "successfully created", "Count": 6, "ElapsedTime": 2004, "Id": "189f6293-21a1-4a74-a332-34369a0ebd0d"}'

Как я могу создать график с таймлионом, который показывает среднее значение ElapsedTime?

Answer 1

Вы должны извлечь поля / json-keys из поля сообщения.

Само поле сообщения имеет тип text, то есть вы можете выполнять полнотекстовый поиск по нему. Чтобы использовать значения ElapsedTime для построения визуализаций, оно должно быть собственным полем внутри документа с типом integer или ключевым словом.

Если вы используете Logstash, вы можете настроить конвейер с помощью JSON фильтр плагин . Он извлечет объект JSON из поля сообщения и сохранит пары ключ-значение в виде отдельных полей в вашем событии / документе.