我想禁用由 logstash-forwarder 在 Elasticsearch 中创建的所有“原始”字段。因此,如果我有一个作为“主机”的字段,logstash-forwarder 将不会创建一个“host.raw”字段。但我需要所有字符串字段的通用解决方案。
我的字符串字段为“not_analyzed”,因此原始字段没有意义,只是数据的副本。
我试图删除下面映射的“字段”部分,但它在第一条日志消息之后被添加回来。我能实现的最接近的事情是添加以下映射,但这仍然会创建空的原始字段:
curl -XPUT 'localhost:9200/myindex/' -d '{
"mappings": {
"_default_": {
"dynamic_templates" : [ {
"string_fields" : {
"mapping" : {
"index" : "not_analyzed",
"type" : "string",
"fields" : {
"raw" : {
"ignore_above" : 0,
"index" : "not_analyzed",
"type" : "string"
}
}
},
"match" : "*",
"match_mapping_type" : "string"
}
} ],
"_all": { "enabled": false }
}
}
}'
那么如何禁用这些字段呢?