问题标签 [kibana-4]

我正在尝试在 Kibana 4.0.1 中实现瓦片地图可视化。

我可以geoip.location在 Discover 部分看到数据，但是当我去 Visualize it as a Tile Map 时，我选择Geo Coordinatesbucket type ，然后是 aggregation type GeoHash，然后当我去的时候Field它是空白的。

• Kibana 4.0.1
• Logstash 1.4.2-1-2c0f5a1
• 弹性搜索 1.4.4
• 在 Debian 7 64 位上运行

这是我的logstash配置：

这是一个日志记录的例子：

有什么我想念的想法吗？

回答

在 Alain 为我指出正确的方向后，我开始研究字段映射。这是我的做法：

首先我检查了geoip字段类型（我的索引被称为firewall*）

这回来了：

float类型位置是我无法添加瓦片地图可视化的原因。我需要将其更改为geo_point.

经过大量挖掘后，我找到了一种将location类型映射更改geo_point为使用输出模板的方法。我elasticsearch_templte.json从

到

编辑它并将模板从更改logstash*为firewall*（或任何您的索引名称模式） "template" : "firewall*"，

编辑 logstash 配置文件并将输出更改为：

删除firewall*索引。

警告：这将删除您现有的所有可搜索数据！如果此数据很重要，您需要找到一种方法来动态更改字段类型而不删除索引。我在谷歌搜索中看到过这个，所以我知道这是可能的。

之后我重新启动了logstash和elasticsearch。

一旦我再次开始接收日志，我再次检查了映射

看看现在的位置类型如何geo_point:-)

现在我可以添加一个 Tile Map 可视化。

我正在为一个项目测试 Kibana 4。

我从我的数据库表中创建了一个索引，该索引由 3 个字段组成：

1. 日期
2. 用户
3. 行动

我想在我的仪表板中将我的索引显示为一个简单的表（3 列，N 行）。

我尝试使用“数据表”可视化，但我找不到在没有任何指标（计数、总和等）的情况下显示结果的方法

也许很简单，我错过了一些东西......有没有办法做到这一点？

问候，

Whenever I create a visualization, Kibana 4 asks me to select the index for doing the search. My project requires searching data that is present in multiple indexes and hence I am stuck. I wish to search two indexes for my data and then visualize them. Any help would be valuable.

我正在使用 Elasticsearch + Logstash + kibana 进行 Windows 事件日志分析。我得到以下日志：

我收到许多具有不同 EventID 的日志消息，当我收到 EventID 为 4656 的日志条目时 - 我想用字符串“访问失败”替换值“4656”。有机会这样做吗？

我在 elasticsearch 1.4.4 之上运行 Kibana 4.0.1。它非常流畅，几乎没有设置时间。突然我遇到了一个问题。

如果我在我的弹性搜索索引中添加一个新字段，它在字段部分不可见。我仍然可以在发现部分中查询该字段。但是，我无法根据新字段制作图表，因为它在字段列表中不可见。

Kibana 显然_mapping在设置时获取并将其存储在名为.kibana. 一旦完成，它永远不会改变这一点。删除此索引应从_mappingelasticsearch 重新加载。但我不想丢失所有已保存的仪表板和可视化。

是否有强制定期Kibana加载新鲜的？mapping

我有一个脚本字段“transferspeed”，计算为"doc['bytes'].value / doc['duration'].value". 该字段正在工作，但我收到警告“Courier Fetch: 6 of 12 shards failed.”。

我认为这是因为并非所有文档都存在“字节”。我该如何解决这个问题，是否可以调整脚本或者我必须在没有字节字段的文档中添加一个 0 的“字节”字段？

谢谢

I have created a dashboard in Kibana-4 and shared on my Web-app. There is option to see table,request,response how to hide it?

使用 Kibana，是否可以显示作为其他行摘要的一行数据？

这是我们的要求：

给定具有以下结构的索引中的条目：

我们要创建具有以下结构的表格输出

因此，如果同一请求 ID 的索引中有三行（或条目），其中两行引发了异常，则输出可能如下所示：

据推测，代表这一点的正确 Kibana 可视化小部件将是一个数据表。但是如何在 Kibana 中创建一个像上面这样的行，它是几行的摘要，有点类似于 sql GROUP BY 子句。有可能吗？

ELK Stack 已成功设置。

使用 grokdebug.herokuapp.com

我的 gork 模式也有效并被转储到 ElasticSearch

这种对输入的 grok 解析是完全正确的。

输出是

问题是所有转储变量都是字符串类型。

如何让他们在 ElasticSearch 中登录到各自的类型（正确的映射类型）

time_1、date_1 和 number_1 都具有相同的类型

我希望 date_1 被索引为日期类型，number_1 被索引为弹性搜索中的数字类型。

PS：有可能吗？？从 Logstash 中确定 Type of Elasticsearch 字段。

或 - 如何将具有正确类型的字段发送到 ElasticSearch。

谢谢

我在 Kibana 4 中有一个日期直方图，可以显示在 elasticsearch 中插入了多少新条目。为此，每个条目都有一个日期字段。

我已将图表定义为每分钟显示新条目，但我想限制时间窗口（例如，仅显示过去 4 小时的最后一个条目）。我尝试使用仪表板中提供的时间过滤器，但它似乎不起作用。所以它显示了自第一个条目以来插入了多少新条目。

如上图所示，显示的时间窗口是昨天晚上 11 点到今天上午 10 点之间。如何将时间窗口限制为 4 小时（即从早上 6 点到上午 10 点）以显示在图表上？

这是 Kibana 发送到 Elasticsearch 的查询：

更新：我解决了这个问题。问题是在 Kibana 中配置索引模式时需要选择基于时间的键。更精确地检查索引是否包含基于时间的事件并选择正确的字段作为时间戳。显然我没有选择我期望的密钥作为基于时间的密钥。它现在工作正常。