kibana做图表无法选取需要选的字段

http://www.07net01.com/2015/12/1069635.html

kibana做图表无法选取需要选的字段，即通过term的方式过滤选择某一个field时发现列表里无此选项。

 

再去discover里看，发现此字段前面带有问号，点击后提示这个字段未做索引，不能用于visualize和discover的搜索。

思考：

从源头查起，日志是logstash收集上来的，猜想可能原因是logstash需要按照某些规则添加这个索引，于是把目光聚焦到logstash的filter

这里我用的是grok，猜测是不是在message匹配后需要再用add_field添加才行。

尝试：

添加add_field后发现不行（确切的说是我add_field用的不太好，写的不对），然后百度相关grok格式发现，不需要添加add_field即可把字段作搜索使用。

尝试失败。

再思考：

排除logstash，后面就是elasticsearch了，这个本身基本未做改动，排除，再就是kibana，突然想到看看之间写的tomcat错误堆栈日志字段是否能正常可搜索，查看发现其日志字段时可以用的，反过头再去比对了下logstash底层发现两者写法和patterns定义均无区别，到了这里基本可以确定为kibana的设置问题了。

尝试：

查阅官方文档kibana相关配置位置，尝试查看了setting，果然发现在index里找到了相关项：

刷新后字段就被索引上了，相当于在kibana中如果索引建立后，再通过logstash添加新字段时，需要在这边刷新以更新状态。

之后便可正常使用此字段了。

至此问题解决。

本文出自 “苍穹KILL” 博客，请务必保留此出处http://1645027.blog.51cto.com/1635027/1730540