لذلك كان لدي أحداث معقدة للغاية مفهرسة ، والآن أريد عرضها للمستخدمين.
كانت لدي رسالة "الكائنات الموجودة في المصفوفات غير مدعومة" ، لذلك اضطررت إلى استخدام copy_to: hits.messages
، لكن هذا جلب مشكلة أخرى.
يبدو أن Kibana لا يمكنه عرض حقول doc_values: true
. في الواقع ، لا يمكن لـ kibana عرض الحقول التي تم إرجاعها بواسطة الاستعلام العادي من خلال ES REST API.
"fields": {
"hits.messages": [
"Access denied with code 402 (phase 2). Pattern match \"(.*)\" at TX:960009-OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER-REQUEST_HEADERS.",
"Operator EQ matched 0 at REQUEST_HEADERS.",
"Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host."
]
}
على الرغم من تعيين hits.messages
كـ:
"messages" : {
"index" : "not_analyzed",
"type" : "string",
"doc_values" : true
},
لا يظهر في Kibana. يمكنني تصور ذلك ، لكن لا يمكنني عرضه. هذا يتناقض مع ما يتوقعه الإنسان العادي. أيضًا ، إذا كنت قادرًا على البحث فيه ، فيجب أن تكون قادرًا على رؤيته - ولا يهم ما إذا كان سيتم إهدار 8 بايت إضافية من ذاكرة الوصول العشوائي.
بالنسبة إلى hit.messages ، أخبرني Kibana: "هذا الحقل موجود في تعيين البحث المرن الخاص بك ولكن ليس في أي مستندات في نتائج البحث. ربما لا يزال بإمكانك تصور ذلك أو البحث فيه.".
قرأت المستندات ، لكن لم أشاهد في أي مكان أي ذكر للسلوك. إذا كان kibana يعرض حقول _source
فقط ، من فضلك ، اكتب هذا بأحرف حمراء كبيرة على صفحة دليل kibana الرئيسية لأن هذا مهم جدًا.
هناك العديد من الأخطاء المفتوحة في ELK trio لدرجة أنني لست متأكدًا مما إذا كان يجب علي تسجيل أي أخطاء إضافية أو تخطي البرنامج.
نعم. تعرض Kibana فقط الأشياء المخزنة في _source
. نأسف للارتباك ، ولهذا يمكنك التجميع عليه ، ولكن لا يمكنك عرضه.
هتافات
ما الحل بخلاف استخدام logstash لإعادة ترتيب الحدث الأصلي وضخ حقول جديدة ببيانات مشوهة / معدلة؟
تواجه القضية الآن. Kibana ليست سهلة الاستخدام على الإطلاق
التعليق الأكثر فائدة
تواجه القضية الآن. Kibana ليست سهلة الاستخدام على الإطلاق