Elasticsearch zeigt nur den _grokparsefailure Datensatz, wo sind die übereinstimmenden?

Question

Am Anfang ist mein Muster nicht korrekt, so dass jeder Datensatz in Elasticsearch als ganze Zeile und nicht als getrennte Zeile angezeigt wird. Dann änderte ich mein Muster, das die http://grokdebug.herokuapp.com/ übergibt. Jetzt kann ich keine meiner neuen Alben in elasticsearch sehen. Mein elasticsearch zeigt nur die mit "_grokparsefailure" gekennzeichneten Datensätze.

Wo sind die übereinstimmenden? thx

Answer 1

Ich fand die Ursache - ein Konfigurationsproblem in Logstash. Ich habe im Ausgabeteil einen falschen Typ gewählt. Ich analysiere die Nachricht, weise einer Variablen namens "type" einen Wert zu. Also hat "type" den falschen Wert.