問題タブ [packetbeat]

3306 の mysql ポートを監視するために packetbeat を使用していますが、非常にうまく機能しています。ディスカバリータブで任意の単語を簡単に検索できます。例えば

これは期待どおりに機能します。しかし、私がそれを変更すると

その場合、クエリ フィールドに「SET」という単語が含まれるドキュメントは返されません。クエリ フィールドのインデックスは異なりますか? 「クエリ」フィールドを検索可能にするにはどうすればよいですか?

アップデート：

これは、すべての文字列フィールドに使用されるパラメーター「ignore_above」が原因ですか? このAPIを使用してマッピングを確認しました...

この制限を取り除き、今後のすべてのビートをクエリ フィールドのインデックスにするにはどうすればよいですか?

更新 2:

「クエリ」フィールドに基づく検索で文字列全体に言及すると、期待どおりに機能します...

これにより、過去 15 分間の 688 レコードすべてが返されます。以下を検索すると、さらに多くの情報が得られると思います...

しかし、私は単一のレコードを取得しません。これは、ドキュメントのインデックス作成方法によるものだと思います。SQL に相当するものを取得することを好みます: query like '%SELECT%'

Packetbeatのドキュメントは非常に簡単で、以下に示すように非常に明確に述べています

Linux では、デバイスに any を指定できます。Packetbeat は、Packetbeat がインストールされているサーバーによって送受信されるすべてのメッセージをキャプチャします。

構成について

packetbeat.interfaces.device: any

しかし、Windowsで同じことを行う方法についてはまったく何もありません.

方法はありますか？