向日志添加服务名称
编辑向日志添加服务名称
编辑在日志中添加 service.name 字段,可以将日志与生成它们的关联服务相关联。您可以使用此字段来查看和管理位于多个主机上的分布式服务的日志。
要向日志添加服务名称,请执行以下任一操作:
- 通过集成、Elastic Agent 配置或 Filebeat 配置使用
add_fields处理器。 - 将数据流中的现有字段映射到
service.name字段。
使用 add fields 处理器添加服务名称
编辑对于没有服务名称的日志数据,使用 add_fields 处理器 添加 service.name 字段。您可以在集成的设置中或在 Elastic Agent 或 Filebeat 配置中添加该处理器。
例如,将 add_fields 处理器添加到独立 Elastic Agent 或 Filebeat 配置的输入部分,会将 your_service_name 作为 service.name 字段添加
processors:
- add_fields:
target: service
fields:
name: your_service_name
将 add_fields 处理器添加到集成的设置中,会将 your_service_name 作为 service.name 字段添加
有关定义处理器的更多信息,请参阅 定义处理器。
将现有字段映射到服务名称字段
编辑对于使用现有字段表示服务名称的日志,使用 别名字段类型 将该字段映射到 service.name 字段。请按照以下步骤更新您的映射
- 要打开 索引管理,请在主菜单中找到 堆栈管理,或者使用 全局搜索字段。
- 选择 索引模板。
- 搜索您要更新的索引模板。
- 从该模板的 操作 菜单中,选择 编辑。
- 转到 映射,然后选择 添加字段。
- 在 字段类型 下,选择 别名,并将
service.name添加到 字段名称。 - 在 字段路径 下,选择要映射到服务名称的现有字段。
- 选择 添加字段。
有关向映射添加字段的更多方法,请参阅 向现有映射添加字段。
处理数据的其他方法
编辑Elastic Stack 提供了其他处理数据的方法