问题标签 [kibana-6]

我创建了一个报告用户行为的 Kibana 仪表板。现在，基于仪表板和图表，我想通过提醒哪些用户行为不好以及哪些用户行为良好来向我的团队发送电子邮件通知。

我知道我们可以在 ES 日志监控上设置电子邮件警报。kibana 仪表板中是否有任何选项，我可以通过提及用户行为向我的团队发送自定义通知。

我目前在 AWS 上运行 elasticsearch 集群版本 6.3.1，这是我需要上传但不能 ``` 的模板文件

我尝试通过 Kibana 中的开发工具加载模板并收到以下错误

有人可以帮忙解决我需要做什么才能在版本 6 elasticsearch 上工作吗？我对弹性搜索完全陌生，只是想从 cloudtrail -> s3 -> AWS elasticsearch -> kibana 设置日志记录。

你能告诉我如何在Kibana Dev Tools 控制台中注释掉行吗？我对注释语法很感兴趣。

我在 timelion 中有两个很长的时间序列，具有不同的标签，例如example1和example2：

我想绘制它们以及它们的差异。

目前为了实现差异栏，我将它们复制并粘贴如下：

但这两个又长又乱。

如何在不复制和粘贴的情况下绘制差异？（例如，使用它们的标签或将它们分配给两个变量，如果可能的话）

有人可以帮忙吗。我需要修复错误，以便可以将 S3 中的 CloudTrail 日志传送到 ES 的 Logstash 并在 Kibana 中查看。无法弄清楚如何将字段限制增加到更高的值。我的配置看起来像

这是我在 Logstash 机器上看到的内容limit

2018-10-04T17:49:49,883][WARN][logstash.outputs.elasticsearch] 无法将事件索引到 Elasticsearch。{:status=>400, :action=>["index", {:_id=>nil, :_index=>"cloudtrail-2018.09.27", :_type=>"doc", :_routing=>nil}, #], :response=>{"index"=>{"_index"=>"cloudtrail-2018.09.27", "_type"=>"doc", "_id"=>"lrMzQGYBOny1_iySNW6G", "status"=> 400, "error"=>{"type"=>"illegal_argument_exception", "reason"=>"已超出索引 [cloudtrail-2018.09.27] 中总字段 [1000] 的限制"}}}

提前致谢

我需要一些帮助来将存储在 searchSourceJSON 中的 UUID 解析为实际的索引别名。我使用 Kibana 导出了（1000 多个）可视化，并且许多可视化定义包含 UUID 而不是实际的别名。

当我在 Kibana 中进行可视化时，我看到索引是别名为“my.aliased.index”，但查看导出的 JSON，我看到 index: 7acb6970-fd58-11e7-9635-4d49af185e70 用于该可视化。

出于报告目的，当我只有 UUID 时，我希望能够取回别名的实际“文本”名称。

谢谢

如何更新 logstash 或 elasticsearch 模板，以便避免在 logstash 服务器上显示此 mapper_parsing_exception 错误。尝试 elk 进行 aws cloudtrail 日志记录，但似乎每一步都遇到障碍。

我也明白用 grok 完成但不知道怎么做！

第二个错误

这是我的模板和默认动态映射

映射，不知道为什么这么大

更新 1：

@Amir masud zarebidaki，谢谢。我认为 elasticsearch 会动态地进行所有映射并进行优化，这对于 elasticsearch 概念来说还是很新的。但是，我确实通过在我的过滤器中添加以下内容来消除他的日期格式错误

但不确定这样做是否正确，因为我现在丢失了一些数据，并且我在日志中出现了新的错误，形式为

如何更改映射以解决这些错误，弹性堆栈的新手

` [logstash.outputs.elasticsearch] 无法将事件索引到 Elasticsearch。{:status=>400, :action=>["index", {:_id=>nil, :_index=>"cloudtrail-2018.10.08", :_type=>"doc", :_routing=>nil}, #], :response=>{"index"=>{"_index"=>"cloudtrail-2018.10.08", "_type"=>"doc", "_id"=>"CkkQVWYBeGi09oGfr-kl", "status" =>400, "error"=>{"type"=>"mapper_parsing_exception", "reason"=>"[requestParameters.filter] 的对象映射试图将字段 [null] 解析为对象，但找到了具体值"} }}}

`这是我的aws es上的映射，我基本上是在尝试使用logstash将s3中的cloudtrail日志摄取到elasticsearch和kibana，但目前似乎没有工作。需要更多帮助并了解为什么不是所有数据都显示在 kibana 中

提前致谢。

如何更新索引映射以包含以下字段doc_as_upsert : true

我从 s3 摄取 cloudtrail 日志的 logstash 在日志上显示以下内容 Could not index event to Elasticsearch. {:status=>400, :action=>["index", {:_id=>nil, :_index=>"cloudtrail-2018.10.08", :_type=>"doc", :_routing=>nil}, #<LogStash::Event:0x251f932>], :response=>{"index"=>{"_index"=>"cloudtrail-2018.10.08", "_type"=>"doc", "_id"=>"t2mmVWYBVQr-RbWuAQIS", "status"=>400, "error"=>{"type"=>"mapper_parsing_exception", "reason"=>"failed to parse [requestParameters.disableApiTermination]", "caused_by"=>{"type"=>"json_parse_exception", "reason"=>"Current token (START_OBJECT) not of boolean type\n at [Source: org.elasticsearch.common.bytes.BytesReference$MarkSupportingStreamInputWrapper@133a6c; line: 1, column: 1509]"}}}}}

映射是动态的，而且很长，所以不能全部放在这里，但这是我喜欢的

当我尝试使用这些更新映射时，出现以下错误

我收到错误

how to display two lines for same field but from different hosts in same visualization using kibana?

I have peakload values from two different hosts and i want them to be displayed in same visualization each line representing peakload values for each host.

suppose there is host1 and host2. then line1 should represent peakload values for host1 and line2 should represent peakload values for host2. how should i do it? Both the lines should be present in same visualization

Edit 1:

this is the plot for graph containing peakload from single host but if i have multiple hosts, how to plot peakload values from multiple hosts in same plot

plot