Я новичок в ELK-стеке и хочу добавить поле в интерфейс kibana (discover), которое соответствует определенной части текста сообщения (одно слово или предложение).
например: я хочу, чтобы слева было поле, соответствующее слову «установлено» в тексте сообщения.
Какой фильтр в logstash мне использовать и как он выглядит?
Как насчет grok{}, который применяет регулярное выражение к вашему входному сообщению и может сделать новые поля?
Спасибо за ответ. Я использовал grok следующим образом, чтобы определить, сколько пользователей создали новые учетные записи.
grok {
match => [ "message", "(?<user_created>(user_created))"]
break_on_match => false
}
Во всяком случае, я обнаружил, что проблема в том, что Kibana показывает старые журналы и не заботится о том, что я делаю в файле конфигурации logstash! до сих пор не могу понять почему!
