Kibana做统计分析时候踩过的一个小坑

之前有个独立的业务上线,时间比较紧迫,部门内小伙伴在进行日志采集的时候偷了个懒,没有对Nginx日志条目做很好的拆分,URI中的参数没有单独拎出去,混入个性化数据导致无法统计。眼前的偷懒终究要付出代价,就在上周末,业务故障了,发现uri没法统计分析了… (心里一万只草泥马在奔腾)

这可咋整呢?!总不能坐以待毙吧,网上找找看。果然还真有人踩了同样的坑,下面记录下如何拆分elasticsearch 单个field的办法:

这里用到一个方法 str.splitOnToken(),同时用到了script功能。

# kibana可视化统计,拆分现有field字段
{
  "script": "(doc['request_uri.keyword'].value.splitOnToken('?')[0])"
}

Kibana

参考文档: