06_去除不需要的字段以及ELK时间轴问题
2024-10-20 11:53:47
去除字段只能去除_source中的,不是_source内的无法去除。
去除不必要的字段,不仅可以节省ES的存储内容,同时因为节省了ES的内容,可以加速搜索的速度
Logstash配置去除不需要的字段
filter {
grok {
match => {
"message" => '(?<clientip>[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}) - - \[(?<requesttime>[^ ]+ \+[0-9]+)\] "(?<requesttype>[A-Z]+) (?<requesturl>[^ ]+) HTTP/\d\.\d" (?<status>[0-9]+) [0-9]+ "[^"]+" "(?<ua>[^"]+)" "(?<realip>[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}),? [^"]+"'
}
remove_field => ["message", "@version"]
}
}
重启logstash之后,再次在kibana中查看数据,已经没有了@version和message
当然如果没有删除掉之前的数据的话,左边栏依然还是有@version和message,但是新的数据中已经没有了@version 和message
如果这一步看到的字段信息比我少是正常的,因为我这里已经开始采用filebeat去收集日志了,filebeat相对于logstash更加轻量级,具体的使用会在后面说明。
ELK时间展示问题
Kibana自带的@timestamp是日志发送到ES的时间,所以会跟真正日志中记录的时间有出入
默认ELK时间轴
以发送日志的时间为准
Nginx本身记录了用户访问的时间
分析Nginx上的日志以用户访问时间为准,而不应该以发送日志的时间
Logstash分析所有的Nginx日志
input {
file {
path => "/var/log/nginx/access.log"
start_position => "beginning"
sincedb_position => "/dev/null"
}
}
此时再次查看@timestamp
所有的时间都为刚才日志发送的时间,如果通过这样的时间去分析日志,是十分不准确的,所以我们可以将timestamp的时间修改为之前自己匹配的requesttime即刻显示为正常时间
在filter中添加如下信息
date {
match => ["requesttime", "dd/MMM/yyyy:HH:mm:ss Z"]
target => "@timestamp"
}
此时再次查看,时间与日志中一致
不同的时间格式,覆盖的时间格式要对应
20/Feb/2019:16:13:09 -------> dd/MMM/yyyy:HH:mm:ss
2019-09-20 16:14:23.230 --------> yyyy-MM-dd HH:mm:ss.SSS
最新文章
- OAF通过Iterator标准遍历各行
- 一切Web的基础----HTTP
- DbUtils是Apache出品一款简化JDBC开发的工具类
- [转]使用Sencha Ext JS 6打造通用应用程序
- SQL查询记录是否在另一个表中存在
- 8种Nosql数据库系统对比
- AndrdoidStudio 2个jar包引起的异常Duplicate files copied in APK META-INF/LICENSE.txt
- 【jmeter】关联-正则表达和xpath
- 判断Check复选框是否选中
- [zz] makefile中=和:=的区别
- DataSet 中的数据排序 及 DataRow装成DataTable
- java对文件的基本操作
- 使用dd备份和恢复ASM中的数据文件头
- BZOJ2463[中山市选2009]谁能赢呢?——博弈论
- Android basics
- PythonProject(1)vim的Hustoj插件
- 跟着刚哥学习Spring框架--通过注解方式配置Bean(四)
- isolinux.cfg 文件是干什么的
- (转) C++中成员初始化列表的使用
- 利用python编写不同环境下都能运行的测试脚本