ELKをver.6系にし、Multiple Pipelinesが使えるようになったため、
何種類かのログを取り込んでおります。
各ログで複数のダッシュボードを作り運用をしているのですが、
調査をする際に特定のワードで横断検索をしたいことがあります。
各ログのVisualizeを一つのダッシュボードに集約し、特定のワードで
それぞれのVisualizeを横断検索することは可能でしょうか?
具体的には、dhcp、Windowsイベントログ、メールサーバのログ、proxyのログなどを
IPアドレスをキーにして横断検索したいという感じです。
ipアドレスをキーに横断検索ということでしたら、ipアドレスが格納されるフィールドを揃えておくことで可能だと思います。
揃っていれば、DashBoardのフィルタや検索条件で指定すると、その内容で各Visualizeのパーツで絞り込まれるかと。
なるほど。
検索に難しく考える必要は無く、フィールドの設計時に考慮すべき事なんですね。
その辺りを全く考えていなかったので今後は考慮する用にしてみます。
© 2020. All Rights Reserved - Elasticsearch
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant logo are trademarks of the Apache Software Foundation in the United States and/or other countries.