我对 Elastic Stack 还很陌生,我仍然没有从我正在阅读的关于这个主题的内容中看到整个画面。
例如,假设我正在使用最新版本的 Filebeat 或 Metricbeat,并将该数据推送到 Logstash 输出(然后将其配置为推送到 ES)。我希望这些节拍之一的“开箱即用”字段更改其字段类型(例如:将 beat.hostname 从当前默认的“文本”类型更改为“关键字”),最佳位置/做法是什么配置这个?这种变化是我希望在运行相同 Beat 的多个主机之间保持一致的东西。
问问题
341 次
2 回答
1
我不会更改任何现有字段,因为 Kibana 在预期字段 + 数据类型上构建了许多可视化、仪表板、SIEM……。
如果需要,请改为扩展(添加,不要更改)默认映射。在默认索引模板之上,您可以添加自己的,它们将被合并。添加更多字段将需要更多磁盘空间(加载时可能还需要内存),但它应该是可管理的并且避免了其他方法的许多缺点。
于 2020-02-09T15:50:03.220 回答
0
同意@xeraa。不建议更改默认模板,因为该字段可能用于任何默认可视化。
创建一个新模板,您可以为同一个索引模式拥有多个模板。所有映射都将被合并。合并的顺序可以使用 order 参数控制,首先应用较低的顺序,然后应用较高的顺序覆盖它们。
对于您的情况,可能为需要更改的任何字段创建一个多字段。例如:如图所示创建一个新的关键字多字段,然后您可以将新字段称为
字段名.raw
.
"properties": {
"city": {
"type": "text",
"fields": {
"raw": {
"type": "keyword"
}
}
}
}
于 2020-02-20T18:53:21.270 回答