そのため、非常に複雑なイベントのインデックスを作成しました。次に、それらをユーザーに表示したいと思います。
「配列内のオブジェクトはサポートされていません」というメッセージが表示されたため、 copy_to: hits.messages
を使用する必要がありましたが、別の問題が発生します。
Kibanaはdoc_values: true
フィールドを表示できないようです。 実際、kibanaは、ES RESTAPIを介した通常のクエリによって返されるフィールドを表示できません。
"fields": {
"hits.messages": [
"Access denied with code 402 (phase 2). Pattern match \"(.*)\" at TX:960009-OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER-REQUEST_HEADERS.",
"Operator EQ matched 0 at REQUEST_HEADERS.",
"Pattern match \"^[\\\\d.:]+$\" at REQUEST_HEADERS:Host."
]
}
hits.messages
が次のようにマッピングされているにもかかわらず:
"messages" : {
"index" : "not_analyzed",
"type" : "string",
"doc_values" : true
},
Kibanaには表示されません。 視覚化はできますが、表示できません。 これは、通常の人間が期待することと矛盾しています。 また、それを検索できれば、それを見ることができるはずです-そして、追加の8バイトのRAMが無駄になるかどうかは関係ありません。
hits.messagesの場合、Kibanaは次のように語っています。「このフィールドはelasticsearchマッピングには存在しますが、検索結果のドキュメントには存在しません。引き続き視覚化または検索できる場合があります。」
ドキュメントを読みましたが、動作についての言及はどこにも見られませんでした。 kibanaに_source
フィールドしか表示されない場合は、これが非常に重要であるため、メインのkibanaマニュアルページに大きな赤い文字でこれを書き込んでください。
ELKトリオには未解決のバグがたくさんあるので、追加のログを記録する必要があるのか、ソフトウェアをスキップするだけなのかわかりません。
うん。 Kibanaは、 _source
に保存されているもののみを表示します。 混乱して申し訳ありません。そのため、集計することはできますが、表示することはできません。
乾杯
logstashを使用して元のイベントを再配置し、マングル/調整されたデータを新しいフィールドに挿入する以外の回避策は何ですか?
今問題に直面しています。 Kibanaはユーザーフレンドリーではありません
最も参考になるコメント
今問題に直面しています。 Kibanaはユーザーフレンドリーではありません