В Кибане у меня есть поля, которые содержат вопросительный знак `?` Не отображается в метрической системе

Question

В Кибане у меня есть поля, которые содержат знак вопроса ?.Цель состоит в том, чтобы создать фильтр, который исключает все записи, содержащие знак вопроса в поле.Поэтому, когда я пытаюсь создать метрику в разделе Агрегация с Term, те поля, которые находятся в отметке ?, там не видны, пожалуйста, помогите разобраться новичку ..

Ниже приведен logstash.conf с фильтрами, которые я использую вместе с приложенным снимком экрана, пожалуйста, предложите, какую ошибку я делаю и что можно сделать ..

У меня есть версия ELK: 6.2.x

# cat logstash-syslog.conf
input {
  file {
    path => [ "/scratch/rsyslog/*/messages.log" ]
    type => "syslog"
  }
  file {
    path => [ "/scratch/rsyslog/Aug/messages.log" ]
    type => "apic_logs"
  }
}

filter {
  if [type] == "syslog" {
    grok {
      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp } %{SYSLOGHOST:syslog_hostname} %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" }
      add_field => [ "received_at", "%{@timestamp}" ]
      remove_field => ["@version", "host", "message", "_type", "_index", "_score", "path"]
    }
    syslog_pri { }
    date {
      match => [ "syslog_timestamp", "MMM  d HH:mm:ss", "MMM dd HH:mm:ss" ]
 }
}
  if [type] == "apic_logs" {
    grok {
      match => { "message" => "%{CISCOTIMESTAMP:syslog_timestamp} %{CISCOTIMESTAMP} %{SYSLOGHOST:syslog_hostname} (?<prog>[\w._/%-]+) %{SYSLOG5424SD:f1}%{SYSLOG5424SD:f2}%{SYSLOG5424SD:f3}%{SYSLOG5424SD:f4}%{SYSLOG5424SD:f5} %{GREEDYDATA:syslog_message}" }
      add_field => [ "received_at", "%{@timestamp}" ]
      remove_field => ["@version", "host", "message", "_type", "_index", "_score", "path"]
   }
 }
}
output {
        if [type] == "syslog" {
        elasticsearch {
                hosts => "noida-elk:9200"
                manage_template => false
                index => "syslog-%{+YYYY.MM.dd}"
                document_type => "messages"
  }
 }
}

output {
        if [type] == "apic_logs" {
        elasticsearch {
                hosts => "noida-elk:9200"
                manage_template => false
                index => "apic_logs-%{+YYYY.MM.dd}"
                document_type => "messages"
  }
 }
}

Answer 1

Я исправил проблему!

Почему я вижу символ?по полям на странице поиска в Кибане При открытии страницы поиска в Кибане вы можете увидеть знак вопроса?по полям, перечисленным в разделе доступных полей вместо символа t.При перезагрузке списка полей анализируется тип полей и вопросительный знак?заменяется символом т.

Обязательно установите флажок Отметить флажок include system indices в крайнем правом углу на снимке экрана ниже.

Изменение порядка столбцов поляв таблице Вы можете переставить поля столбцов в таблице.Наведите указатель мыши на заголовок столбца, который вы хотите переместить, и щелкните столбец Переместить влево или Переместить столбец вправо.

Перезагрузка списка полей Выполните следующие шаги, чтобы перезагрузить списокполя, которые отображаются в Kibana:

Выберите страницу управления, затем выберите Шаблоны индексов, чтобы отобразить доступные индексы.

Выберите шаблон индекса для своего пространства, чтобы увидеть каждое поле и поле.связанный тип ядра, записанный Elasticsearch.

Нажмите кнопку «Список полей перезагрузки» Перезагрузить список полей, чтобы перезагрузить поля шаблона индекса.

Список полей обновлен.