Logtrail ne pas afficher les données

Question

J'ai essaim avec pile ELK, avec un conteneur personnalisé de Kibana avec Logtrail. Quand je l'allume, je peux voir les journaux dans Kibana mais pas dans le plugin Logtrail. J'ai toujours aucun message trouvé d'événements.

Ma config ressemble (à des fins de test)

{ 
    "index_patterns" : [ 
     { 
      "es": { 
       "default_index": "logstash-*", 
       "allow_url_parameter": false 
      }, 
      "tail_interval_in_seconds": 5, 
      "max_buckets": 500, 
      "nested_objects" : false, 
      "display_timezone": "local", 
      "default_time_range_in_days" : 0, 
      "max_hosts": 10, 
      "display_timestamp_format": "MM-dd HH:mm:ss.fff", 
      "fields" : { 
       "mapping" : { 
        "timestamp" : "@timestamp", 
        "display_timestamp" : "@timestamp", 
        "hostname" : "message", 
        "program": "message", 
        "message": "message" 
       } 
      } 
     } 
    ] 
} 

Mon entrée de journal visible dans Kibana:

{ 
    "_index": "logstash-2017.06.27", 
    "_type": "logs", 
    "_id": "AVzrfuXhrXfjBRR51Pyo", 
    "_version": 1, 
    "_score": null, 
    "_source": { 
    "source_host": "10.255.0.5", 
    "level": 6, 
    "created": "2017-06-27T13:31:01.373596557Z", 
    "log_level": "DEBUG", 
    "message": "Discovered 3 resources", 
    "version": "1.1", 
    "call_site": "onResourcesFound:76", 
    "command": "java -cp classes:dependency/* Application", 
    "tags": [ 
     "_dateparsefailure" 
    ], 
    "image_name": "xyz", 
    "@timestamp": "2017-06-27T21:39:41.137Z", 
    "container_name": "xyz", 
    "service": "device-management", 
    "host": "Docker-2", 
    "@version": "1", 
    "tag": "59858d7aa20d", 
    "image_id": "sha256:acbccc5b39088ac1b2993e9e9dcd290e7cfa10499ef5eeca9f145d44ccc5571b", 
    "container_id": "59858d7aa20dae4bc6220c4ff7366d7bef059d50213e852c3adab2eb8493af08", 
    "timestamp": "17-06-27 21:39:41.137" 
    }, 
    "fields": { 
    "created": [ 
     1498570261373 
    ], 
    "@timestamp": [ 
     1498599581137 
    ] 
    }, 
    "sort": [ 
    1498599581137 
    ] 
} 

Où pourrait être le problème s'il vous plaît?

Answer 1

Je ne vois pas cette ligne dans votre fichier JSON partout:

"message_format":"{{{syslog_message}}}" 

Vous devriez être en mesure d'ajouter des champs à l'aide {} nomchamp au sein de la ligne existante.

Quelques pages de référence:

here et here. À un moment donné, j'avais ma propre configuration personnalisée de message_format, mais je ne trouvais pas de référence à la page où elle me montrait comment la formater.

modifier:

il semble aussi que vous devez mapper vos champs correctement. Ci-dessous mon perdu et trouvé index dans un fichier JSON:

{ 
    "index_patterns" : [ 
    { 
     "es": { 
     "default_index": "lnf-*", 
     "allow_url_parameter": false 
     }, 
     "tail_interval_in_seconds": 10, 
     "es_index_time_offset_in_seconds": 0, 
     "display_timezone": "local", 
     "display_timestamp_format": "MMM DD HH:mm:ss", 
     "max_buckets": 500, 
     "default_time_range_in_days" : 0, 
     "max_hosts": 100, 
     "max_events_to_keep_in_viewer": 5000, 
     "fields" : { 
     "mapping" : { 
      "timestamp" : "@timestamp", 
      "display_timestamp" : "@timestamp", 
      "hostname" : "logsource", 
      "program": "program", 
      "message": "message" 
     }, 
     "message_format": "{{{message}}}" 
     } 
    } 
    ] 
} 

Notez que vous avez « message » dans chacune des applications de terrain ...