not_analyzed文字列をKibana での検索と視覚化の両方に使用したいと考えています。
カスタムの Elasticsearch-template.json を作成して、文字列のデフォルトを に設定not_analyzedし、logstash-log4j.conf ファイルでこれを指定しました。ここにelasticsearch-template.jsonがあります:
{
"template" : "logstash-*",
"settings" : {
"index.refresh_interval" : "5s"
},
"mappings" : {
"_default_" : {
"_all" : {"enabled" : true, "omit_norms" : true},
"dynamic_templates" : [ {
"message_field" : {
"match" : "message",
"match_mapping_type" : "string",
"mapping" : {
"type" : "string", "index" : "analyzed", "omit_norms" : true
}
}
}, {
"string_fields" : {
"match" : "*",
"match_mapping_type" : "string",
"mapping" : {
"type" : "string", "index" : "not_analyzed", "omit_norms" : true,
}
}
} ],
"properties" : {
"@version": { "type": "string", "index": "not_analyzed" },
"geoip" : {
"type" : "object",
"dynamic": true,
"properties" : {
"location" : { "type" : "geo_point" }
}
}
}
}
}
}
このファイルは、次を含むlogstash-log4j.comと同じディレクトリにあります。
output {
stdout {
codec => rubydebug
}
elasticsearch {
cluster => 'hlt_logs'
index => 'logstash-symphony'
template => "/elk/logstash/current/elasticsearch-template.json"
}
}
これらの変更を行った後、curl を使用して Elasticsearch インデックスを削除して置き換えました。
curl -XDELETE -i 'http://localhost:9200/logstash-symphony'
curl -XPUT -i 'http://localhost:9200/logstash-symphony'
新しいログをいくつか追加し、Kibana で視覚化しましたが、まだ文字列を分析されたフィールドとして取得しています。私は何が欠けていますか?