Сохраняя с этими предустановленными фильтрами, "пирожок" будет строиться только на выбранных 4 странах

в моем случае не фильтр, а некое преобразование нужно. аки сгрупировать некоторые URL по определенному шаблону. но за наводку спасибо

можно такое сделать с помощью scripted fields

видел что это, но там надо знание явы

Потом по этому полю, который создан таким образом, построить пирожок

регекспы

понял, спс

не-а, там свой движок, painless-script. ява в стеке вообще не используется как скрипт-движки.

сек, а разве scripted fields умеет модифицировать значения в полях и измененное значение туда же записать?

не туда же, а в отдельное поле результат скрипте филдс заносится. и потом уже на этих полях строишь визуализации

вообще - умеет, бо скрипт вызывается) но логичнее - копировать нужные значения в собсно скриптфилд

а что, в Pie нельзя исключать значения полей из аггрегации? типа у меня в поле nginx.url (в terms) есть значения /api/v1/, в exlcude я указываю /api/. но не работает. и как я понял, /api/v1/ в поле это метрика, да?

вообще фильтры в этом пироге очень странно работают. как будто пайплайн в каком-то CI. типа у меня есть поле nginx.access.url со значениями /api/v1, /api/v2, /api/v3. и почему-то последний не показывается, хотя в Discovery всё норм работает.

при этом в документации о механизме filters почти ничего(

есть тут люди хорошо шарящие в гроке?

собсно вопрос.
nginx.access.url: /api/v2/public/some_url
я хочу, чтобы эта урла распарсилась на 2 части

grok{
      match => { "message" => ["%{IPORHOST:[nginx][access][remote_ip]} - %{DATA:[nginx][access][user_name]} \[%{HTTPDATE:[nginx][access][time]}\] \"%{WORD:[nginx][access][method]} %{DATA:[nginx][access][url]} HTTP/%{NUMBER:[nginx][access][http_version]}\" %{NUMBER:[nginx][access][response_code]} %{NUMBER:[nginx][access][body_sent][bytes]} \"%{DATA:[nginx][access][referrer]}\" \"%{DATA:[nginx][access][agent]}\""] }
     remove_field => "message"
     if [nginx][access][url] != "/" {
       match => { "nginx.access.url" => ["%{GREEDYDATA:[nginx][access][url][kind]}/%{GREEDYDATA:[nginx][access][url][query]}"] }
     }
   }

не пашет

используй https://grokdebug.herokuapp.com/

уже. там всё работает. но он не умеет проверять пайплайны

со scripted fields и визуализцией тут никто не пробовал что-то делать?

Подскажите, эластику куда-то логирует бэд реквесты?