0

我们有一个用于存储日志文件的 elasticsearch kibana 设置。日志文件是使用 Flume elasticsearch sink 编写的。

如果我搜索,@fields.environment:"sm-local-mlamley"那么我会找到我期望的日志事件。这些日志事件的 @message 字段为2013-03-04 10:05:41.7262|INFO|FlumePOC.Program|SM 101123123 log message fudgesicle

但是,如果我搜索,"fudgesicle"则找不到它们。事实上,即使我搜索整个 @message 字段,我也找不到该条目。

我该如何确定为什么弹性搜索似乎没有为数据编制索引。

4

1 回答 1

2

您可以直接查询 Elasticsearch,如下所示:

http://elasticsearch-host:port/index-name/index-type/_search?q=search-term

您可以使用通配符作为名称和类型,包括空字符串。如果你添加&pretty到最后,它会稍微格式化 JSON 响应。所以你可以试试:

http://elasticsearch-host:9200///_search?q=fudgesicle&pretty

这将显示日志事件是否已进入 ES。如果它在那里,您可能会更好地了解 Kibana 找不到它的原因。

于 2013-03-27T18:34:48.763 回答