ELK入门——解决:Saved field ““ is invalid for use with the “Terms“ aggregation.Please select a new field.

最新推荐文章于 2023-08-31 13:51:10 发布
原创 最新推荐文章于 2023-08-31 13:51:10 发布 · 908 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#auditbeat #ELK #kibana #saved field #invalid

本文解决了Auditbeat安装后在Kibana上无法正确显示图像的问题。通过更改数据传输方式至Elasticsearch,并利用setup命令生成正确的索引模板,最终实现了字段的正确聚合和图像的正常显示。

一、前言

解决方案适用于各beat。

auditbeat的具体安装过程见博客ELK入门(十八)——Auditbeat安装、启动与可视化

我在安装完成auditbeat并导入模板后,发现在kibana的可视化界面没有正常生成图像,而是出现了Saved field "" is invalid for use with the "Terms" aggregation.Please select a new field.的问题。从字面看,是字段的类型不允许以“term”的方式聚合,而且模板也无法编辑。

我们到Stack Management→Index Pattern→auditbeat-*下查看event.action字段,发现该字段存在,但是Aggregation下没有小绿点,而有另一个event.action.keyword才允许Aggregation。说明字段的类型存在问题,导致我们无法正确显示。

还有很多字段都是类似的问题,例如我们查找host.name字段

 查看其他beat的该字段(如metricbeat),发现hosta.name可以聚合,而且没有keyword字段,于是估计是在传入的过程中被加上的keyword。

最低0.47元/天 解锁文章
sh: write error: Invalid argument
**My Coding Family**
09-26 1343
在上一期中,我们深入探讨了Zipkin:分布式追踪系统。Zipkin为我们提供了微服务之间的调用链路追踪能力,使得我们能够更好地识别性能瓶颈和延迟问题。这为优化服务性能提供了重要的支持。然而,仅依靠追踪信息来进行故障排查和性能分析是远远不够的。在微服务架构中,分布式系统往往会生成大量的日志数据,这些数据对于故障排查、性能监控以及安全审计都至关重要。因此,如何高效管理和分析这些日志成为了另一个迫切需要解决的问题。本期,我们将深入探讨分布式日志管理与分析,特别是使用ELK Stack。
elasticsearch常见问题:xpack.security.transport.ssl、unknown setting [node.master]
最新发布
专注于计算机研发知识和资讯分享
03-14 1434
进入解压后的elasticsearch-7.2.0 文件夹中的config文件夹,并修改elasticsearch.yml 文件中的配置。在后台启动elastic search进程,需要在启动时加个。在ES8中设置主节点的语句已经进行了修改,需要设置节点的角色。保存并退出后执行命令。
ELK 提示Visualize: "field" is a required parameter和Saved "field" parameter is now invalid.解决方法
yrx0619的专栏
01-09 2692
0x01 产生原因 产生的原因是:因为在ES中有两个index定义的字段类型不一致导致的。 例如: log_2019.1.1 GET /log_2019.1.1/_mapping { "index-1": { "mappings": { "type-1": { "properties": { &
elk笔记16--aggs-Metrics Aggregations
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
09-26 423
elk笔记16--aggs-Metrics Aggregations1 Metrics Aggregations 简介2 Metrics Aggregations 分类2.1 Avg Aggregation2.2 Weighted Avg Aggregation2.3 Max Aggregation2.4 Min Aggregation2.5 Sum Aggregation2.6 Stats Aggregation2.7 Extended Stats Aggregation2.8 Cardinality A
jmeter调试错误大全
m0_68405758的博客
08-31 1299
在使用jmeter做接口测试的过程中大家是不是经常会遇到很多问题,但是无从下手,不知道从哪里开始找起,对于初学者而言这是一个非常头痛的事情。写好脚本后,可以先试着运行一下,如下图所示,点击黄色的小三角形,出现查看执行日志界面,注意是否有报错,如果存在错误,先处理好执行日志中的错误。1.检查请求信息是否正确:包括请求的协议、请求的方式、请求地址、请求的数据等信息。解决问题:将接口2.上传图片获取url接口中的上传的图片换一个新的图片。3.查看接口开发文档,找到接口返回的相关信息,提示信息的说明。
ELK实战--利用auditbeat采集系统审计日志并生成图表
weixin_34220179的博客
01-17 1599
一、背景 Auditbeat是轻量型的审计日志采集器,可以收集linux审计框架的数据、监控文件完整性。能够组合相关消息到一个事件里,生成标准的结构化数据,方便分析,而且能够与Logstash、Elasticsearch和Kibana无缝集成。 二、安装 wget https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-6....
elastic search 日期为string类型导致视图无法展示时间的解决办法
weixin_30594001的博客
04-14 297
尝试将结构化的json数据发送到es(elastic search)上,然后创建视图,这样就能以小时维度查看数据,直接使用post发送到es后,创建索引,结果提示 没有date类型的字段(field)。经过一番搜索和请教同事同学,最后尝试如下方法解决: 删除原有的索引,然后在发送数据到ES前的时候先 发送如下请求(es 5.0版本): http://yourhost.com/yourindex...
ELK入门——解决:could not load plugin descriptor for plugin directory []
Netceor的博客
02-25 8841
在ES的IK分词器安装完成后启动ES,出现了这样的报错,还跟随着Likely root cause......plugins/ik/plugin-descriptor.properties的类似语句。到系统提示的plugins/ik/目录下,我们发现不存在plugin-descriptor.properties文件。 这个其实是因为压缩包的内容不够完整,下载时应该在官网下载elasticsearch-analysis-ik-版本号.zip,而不是source code.zip,如果是source code
ELK入门——解决:Scripts Fields利用正则表达式提取,m.matches()返回false,无法正确匹配
Netceor的博客
02-23 1349
更多的Scripts Fields具体细节和操作,以及正则表达式请参考博客ELK入门(十六)——Kibana-Painless-Scripts-Fields,对索引字段提取处理,生成新字段 在Kibana创建Scripts Fields后,采用正则表达式想要匹配内容,却无法产生结果。在m=/pattern/.matcher(tset)后,利用m.matches()查看是否正确匹配,却返回false。 很多时候,感觉自己的语法没有问题,理论上应该匹配到结果,但是查看m.matches()返回值为false
ELK入门(十九)——Auditbeat安装、启动与可视化
Netceor的博客
03-01 1830
一、安装包 可以到官网找到对应的安装方式:https://www.elastic.co/guide/en/beats/auditbeat/7.10/auditbeat-installation-configuration.html tar.gz直接用连接https://artifacts.elastic.co/downloads/beats/auditbeat/auditbeat-7.10.1-linux-x86_64.tar.gz下载 # 解压 tar xzvf auditbeat-7.10.1-
Elasticsearch中索引字段属性冲突及修复完整方案
土豆是狗的博客
03-20 1758
由于历史原因,A产品数据入Es库中字段默认都是keyword并没有区分字段类型属性,随着业务发展,需要更多数据格式,原有的keyword满足不了新需求,所以问题来了,新老数据字段属性产生了冲突,如何安全高效解决这个问题是本文内容。
实时搜索引擎Elasticsearch(4)——Aggregations (聚合)API的使用
热门推荐
HinyLover的专栏
09-08 5万+
本篇将介绍ES提供的聚合API的使用。ES提供的聚合功能可以用来进行简单的数据分析。本文仍然以上一篇提供的数据为例来讲解。
Elasticsearch--Aggregation详细总结(聚合统计)
moliyiran的专栏
02-29 2855
Elasticsearch的Aggregation功能也异常强悍。 Aggregation共分为三种:Metric Aggregations、Bucket Aggregations、 Pipeline Aggregations。下面将分别进行总结。 以下所有内容都来自官网:喜欢原汁原味的参看下方网址,不喜欢英文的参看本人总结。 官网(权威):https://www.elastic.co...
Elasticsearch Terms Aggregation计数聚合详解
qq_28834355的博客
10-28 2188
文章目录1. Terms Aggregation 考试成绩案例 某考试成绩结果如下,几个字段分别为:学科、姓名、成绩 PUT /my_index/_doc/_bulk { "index" : {} } {"course":"语文","name":"张三","score":95} { "index" : {} } {"course":"语文","name":"李四","score":88} { "index" : {} } {"course":"语文","name":"王五","score":82} { "i
ES进行date_histogram时间聚合,聚合结果时间不正确问题
u011250186的博客
12-28 2586
ES进行date_histogram时间聚合,聚合结果时间不正确问题
ELK+filebeat+metricbeat+heartbeat+auditbeat安装配置及汉化
江南T雨
02-20 4239
一、基础环境介绍 Centos 7.5 x64 ElasticSearch 6.5.1 Logstash 6.5.1 Kibana 6.5.1 filebeat 6.5.1 metricbeat 6.5.1 heartbeat 6.5.1 auditbeat 6.5.1 Kibana_Hanization 6.5.1 二、ElasticSearch安装 安装JDK,配置J...
elk auditbeat 踩坑
chiyuanxian3951的博客
07-18 620
auditbeat 在启动后,过一会会报一个内存错误,经过询问同事: 启动前把audit.rules.d文件删除掉,它里面的配置与auditbeat.yml重复 有人踩坑真好 转...
ELK入门:日志管理与集群搭建解决方案
本文档主要介绍了ELK(Elasticsearch, Logstash, Kibana入门及集群搭建的相关知识,针对在实际项目中遇到的日志管理挑战提供解决方案。随着系统规模的扩大,传统的日志管理方式如直接在服务器上grep或awk搜索日志...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值