We've got an ELK setup. All logfiles are collected successfully and pushed into elasticsearch. Then we're using kibana 4 to visualize the logs. But there is only WARN as 'level' shown. Within the elasticsearch index there are many more and all other 'level's. But these are not shown. All other fields in the index, where multiple values are available are shown, except 'level'. Is this a bug or is there something wrong in the default configuration?
问问题
1429 次
3 回答
1
这是logstash中的一个错误。它破坏了一些日志事件,因此只有这些具有日志级别 WARN 的事件被正确处理。所以只显示这些事件。
谢谢你的帮助。;)
于 2015-08-05T04:54:13.217 回答
0
我不完全确定您尝试了什么,以及您是如何最终无法在 Kibana 中达到所有级别的。因为你提到过:
然后我们使用 kibana 4 来可视化日志。但是只有 WARN 显示为“级别”。
这并不清楚正在使用哪种/类型的(开箱即用)可视化(图形、图表、数据表等)以及实施了哪些聚合。
另外,当你说
在弹性搜索索引中有更多和所有其他“级别”。但这些都没有显示。
我假设一切都在logstash端正确实现/配置(grok过滤器,如果你使用的是模式)
我最近做了类似的事情(解析和可视化 tomcat 日志)并处理了相同的“级别”问题。我发现在 Kibana 中,在任何可视化中使用(子)聚合时,当您选择重要术语 -> 字段名时,它可能会忽略与该字段的其他值相比非常小的值。WARN >>> ERROR例如,如果在给定时间范围内出现在字段中的频率level,Kibana 将只显示,WARN而不管您输入的大小。这就是它的目的 - 只显示重要的术语。
要克服这个问题,请使用术语 -> 字段 -> 字段名。将Order设置为 Top/Bottom,最重要的是,将Size设置为0。
无论其出现频率如何,您都会看到该字段的每个值。希望这可以帮助。
PS:选择底部可以让您从GREENKibana 可视化中的默认颜色略微减轻。
于 2015-07-17T13:54:07.727 回答
0
听起来您在“发现”选项卡上,并且正在评论左侧刻面中显示的值。
这些值是从当前表中的文档生成的(默认是查询返回的最近的 500 行),而不是从整个查询的结果。
因此,如果最近的消息都是 WARN,那么这就是左侧刻面中显示的全部内容。
要确认这一理论,请排除 WARN 消息并查看您的其他级别是否出现。
于 2015-07-17T15:42:07.547 回答