1. ホーム
  2. 質問と答え
  3. 木場のフィールドで並べ替えを有効にするにはどうすればいいですか?

木場のフィールドで並べ替えを有効にするにはどうすればいいですか?

2016-07-19 1 views
1

logstash私はApacheのログからマイクロ秒を解析していますが、どのようにこのフィールドをkibanaで並べ替えるのですか?ここで木場のフィールドで並べ替えを有効にするにはどうすればいいですか?

は、ログのための私のフィルタである:

if [type] == "apachelogs" { 
    grok { 
     break_on_match => false 
     match => { "message" => "\[%{HTTPDATE:apachetime}\]%{SPACE}%{NOTSPACE:verb}%{SPACE}/%{NOTSPACE:ApacheRequested}" } 
match=> { "message" => "\*\*%{NUMBER:seconds}/%{NUMBER:microseconds}" } 

     add_tag => "%{apachetime}" 
     add_tag => "%{verb}" 
     add_tag => "%{ApacheRequested}" 
     add_tag => "%{seconds}" 
     add_tag => "%{microseconds}" 



    } 
    }

出典

2016-07-19 user2481458

+1

「ソート」とは何を意味していますか?ソートはどこで実行されましたか? –

+0

@AndreiStefan木場の並べ替えを視覚化したい – user2481458

答えて

0

フィールドでソートないのはなぜ? grokパターンのおかげで、あなたのイベントの値はmicrosecondsになりました。

簡易ifelse ifの小切手でソートすることができます。 Logstash Docs on Conditionals

if [microseconds] <= 30000000 { 
    # filter 
} 
else if [microseconds] <= 60000000 { 
    # filter 
} 
else { 
    # filter 
}

EDIT:この回答は、質問とは関係ありませんOPが実際Kibanaでソートについて尋ねたことから、これはLogstashがフィールドあなたを解析している限りLogstash

出典

2016-07-19 15:26:16

+0

フィールドではなく、マイクロ秒がタグとして追加されましたか? –

+0

grok paternがフィールドを作成していて、addタグがフィールドの値を引数としてタグとして追加しています –

+0

@WillBarnwell KIbanaの並べ替えを視覚化したい – user2481458

1

仕分けについてですソートしたいと思っていますが、それはあなたの木場でのソート能力には影響しません。

キバナでソートするには、ディスカバリビューadd the field microseconds(またはソートする任意のフィールド)でソートします。次に、フィールド名の近くの矢印を使用して、そのフィールドをソートすることができます。

出典

2016-07-20 13:21:37 baudsp

+0

最初の部分は100%正確ではありませんが、 OPの質問 –

+0

@WillBarnwellに答えると、最初の部分の精度を上げることができれば、それはすばらしいことになります。 – baudsp

+0

@WillBarnwellありがとう!最初の段落で何が欠けているのか分からなかった。 – baudsp

関連する問題

 関連する問題