0

我有一个 nginx->fluentd->elasticsearch->kibana 堆栈并正在运行。试图弄清楚我是否可以做类似“术语”面板但使用来自日志的路径字符串组件的操作。直接在其上使用术语面板会导致路径中最常用的单词,例如对于drupal,它显示“节点”是最流行的,如果没有实际的节点ID,这将毫无用处。

这可能与弹性搜索有关吗?

更新:这是我的日志示例:

"path": "/node/123"
"path": "/node/456"
"path": "/user/create"

如果我为“路径”字段添加“术语”面板,我会得到“节点”、“用户”、“创建”的列,这些列没有统计意义。我需要的是一个术语面板,它聚合唯一字段值,而不是字段的唯一单词部分。

4

1 回答 1

1

您需要配置 Elasticsearch 的映射以将“路径”字段设置为“未分析”字段。默认设置是“已分析”,默认情况下,ES 会解析字符串字段并在可能的情况下将它们划分为多个标记,这可能就是您的情况。请参阅此相关问题

至于如何配置 Elasticsearch 的映射,我也在挖掘,我自己也有类似的问题,我希望能够对多令牌字符串进行排序。似乎会有一个放置映射 API 或使用配置文件的可能性,请参见此处

于 2014-06-20T15:11:58.753 回答