正在加载

向日志添加服务名称

Elastic Stack Serverless

service.name 字段添加到您的日志会将这些日志与生成它们的服务相关联。您可以使用此字段来查看和管理位于多个主机上的分布式服务的日志。

要向日志添加服务名称,请执行以下操作之一

  • 通过集成、Elastic Agent 配置或 Filebeat 配置使用 add_fields 处理器。
  • 将数据流中的现有字段映射到 service.name 字段。

对于没有服务名称的日志数据,请使用 add_fields 处理器添加 service.name 字段。 您可以在集成的设置中或在 Elastic Agent 或 Filebeat 配置中添加处理器。

例如,将 add_fields 处理器添加到独立 Elastic Agent 或 Filebeat 配置的 inputs 部分会将 your_service_name 添加为 service.name 字段

 processors: - add_fields:
    target: service
    fields:
        name: your_service_name

add_fields 处理器添加到集成的设置会将 your_service_name 添加为 service.name 字段

Add the add_fields processor to an integration

有关定义处理器的更多信息,请参阅定义处理器

对于具有用于表示服务名称的现有字段的日志,请使用 别名字段类型将该字段映射到 service.name 字段。 请按照以下步骤更新您的映射

  1. 在主菜单中找到 Stack Management,或使用全局搜索字段
  2. 选择 Index Templates
  3. 搜索要更新的索引模板。
  4. 从该模板的 Actions 菜单中,选择 edit
  5. 转到 Mappings,然后选择 Add field
  6. Field type 下,选择 Alias 并将 service.name 添加到 Field name
  7. Field path 下,选择要映射到服务名称的现有字段。
  8. 选择 Add field

有关向映射添加字段的更多方法,请参阅向现有映射添加字段

Elastic Stack 提供了其他处理数据的方式

  • Ingest pipelines: 将数据转换为 ECS,规范化字段数据或丰富传入数据。
  • Logstash: 使用输入,输出和过滤器插件来丰富您的数据。
© . All rights reserved.