Стандартизируйте данные журналов в ELK — Elastic Logstash Kibana

Я использую ELK для управления журналами.

Как лучше всего управлять уровнем журнала. В одном бревне его нижний регистр, в другом его больший регистр.

введите здесь описание изображения

Где лучше всего это решить?

  • В логсташе?
  • В эластичной базе данных?
  • Кибана при выполнении запроса?

И как?


logging elastic-stack logstash kibana
person Amir Katz    schedule 07.01.2016    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Два предложения:

  1. нормализовать строковое значение. Будь то «ОТЛАДКА», «Отладка» или «отладка», решать вам.
  2. добавьте числовой эквивалент.

Таким образом, вы можете запускать такие запросы, как: "severity_num:‹=3", чтобы получить плохие вещи, а затем использовать строковое поле "severity" на дисплее.

Подробнее здесь.

person Alain Collins    schedule 07.01.2016
comment
Где в потоке я должен нормализовать? и как? Это была моя проблема. Но вся остальная информация отличная! - person Amir Katz; 08.01.2016
comment
Моя конфигурация logstash разделена на множество небольших файлов, которые logstash объединяет в алфавитном порядке. Я поместил такие вещи для очистки в один из более поздних файлов. См. связанную публикацию в блоге для фактических конфигураций. - person Alain Collins; 08.01.2016