Bonjour,
Je suis débutant sur ELK.
J'ai actuellement une infra:
Hors dans kibana, je me retrouve avec le champ message dont tous les "." remplacé par des ","
Je n'ai pas le problème sur les autre champs.
L'installation, est globalement brut de fonderie, mais je ne vois pas trop pourquoi ce comportement.
Merci de votre aide.
Tu as un exemple ? Un document d'origine dans elasticsearch ? Une capture d'écran ?
Voici un exemple de champ message:
"message": [
"Verification du type TIF /qual_cezan/fichier/docs/annonces/fa_39/02318853900/O_2318853900",
"indd"
],
Je me rend compte que le champ message semble être scinder en deux données différente séparé par mon ".".
J'ai vraiment du mal a comprendre.
J'ai du mal à comprendre ce que tu décris.
En tout cas, si le document est "comme ça" dans elasticsearch, il faut que tu cherches avant elasticsearch (logstash ou la source des données).
Désolé si ce n'était pas claire.
Ce que je veux dire, c'est que j'envois à mon système
"message": [
"Mise en forme du fichier XML : splitted.crc"
],
et je me retrouve avec ceci dans elastic:
"message": [
"Mise en forme du fichier XML : splitted",
"crc"
],
Je vais effectivement regardé du coté de mon logstash.
Utilise le stdout pour voir ce qui sort de logstash.
Et éventuellement partage ta conf LS ici.
Merci de ton aide.
Je viens de trouver d'ou venais mon problème, j'aurais du regarder le configuration plus tot, mais j'ai fais confiance à la personne qui à fait la mise en place.
J'avais dans ma conf logstash:
mutate {
split => ["message", "."]
}
© 2020. All Rights Reserved - Elasticsearch
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant logo are trademarks of the Apache Software Foundation in the United States and/or other countries.