在Kibana中未显示Logstash grok pattern字段

Question

我最近一直在研究ELK作为一种潜在的日志记录/监控解决方案。我已经建立了堆栈并开始工作，我开始通过grok过滤日志。

可以在Kibana中将grok模式的特定部分显示为一个字段吗？

例如，采用以下模式：

SAMSLOG %{HOUR}:%{MINUTE}:%{SECOND} \[%{USERNAME:user}\] - %{JAVALOGMESSAGE}

我希望(从我所读到的) "user“应该成为Kibana中的一个可用字段，我可以搜索/过滤结果？我是不是完全误解了，或者我错过了链条中至关重要的一环？

完整的Grok模式：

multiline {
      patterns_dir => "/home/samuel/logstash/grok.patterns"
      pattern => "(^%{SAMSLOG})"
      negate => true
      what => "previous"
    }

谢谢你，山姆

Answer 1

是的，logstash的整个“魔力”就是获取非结构化数据并从中生成结构化字段。所以，你的基本前提是正确的。

您遗漏的是multiline{}是一个过滤器，它用于将多个输入行组合成一个事件；基本上它所做的就是这些。这里的"pattern“字段用于标识何时应该开始新行。

要从事件中创建字段，您需要使用grok{}过滤器。