我对弹性堆栈还很陌生,我还没有从我正在阅读的关于这个主题的内容中看到全貌。例如,假设我正在使用最新版本的Filebeat或Metricbeat,并将该数据推送到Logstash输出(然后将其配置为推送到ES)。将beat.hostname从当前默认的“text”类型更改为“keyword”),配置此选项的最佳位置/做法是什么?我希望这种更改在运行同一Beat的多个主机上保持一致。
bvjveswy1#
我不会更改任何现有字段,因为Kibana正在构建大量可视化、 Jmeter 板、SIEM ......以及预期字段+数据类型。如果需要的话,可以扩展(添加,不要更改)默认的Map。在默认的索引模板之上,你可以添加你自己的,它们将被合并。添加更多的字段将需要更多的磁盘空间(在加载时可能还有内存),但它应该是可管理的,并避免了其他方法的许多缺点。
jdzmm42g2#
同意@xeraa。不建议更改默认模板,因为该字段可能用于任何默认可视化。创建一个新模板,同一索引模式可以有多个模板。所有Map都将合并。可以使用order参数控制合并的顺序,首先应用较低的顺序,然后覆盖较高的顺序。对于您的情况,可能需要为任何需要更改的字段创建一个多字段。例如:如此处所示,创建一个新的关键字多字段,然后可以将新字段引用为fieldname.raw。
"properties": { "city": { "type": "text", "fields": { "raw": { "type": "keyword" } } } }
2条答案
按热度按时间bvjveswy1#
我不会更改任何现有字段,因为Kibana正在构建大量可视化、 Jmeter 板、SIEM ......以及预期字段+数据类型。
如果需要的话,可以扩展(添加,不要更改)默认的Map。在默认的索引模板之上,你可以添加你自己的,它们将被合并。添加更多的字段将需要更多的磁盘空间(在加载时可能还有内存),但它应该是可管理的,并避免了其他方法的许多缺点。
jdzmm42g2#
同意@xeraa。不建议更改默认模板,因为该字段可能用于任何默认可视化。
创建一个新模板,同一索引模式可以有多个模板。所有Map都将合并。可以使用order参数控制合并的顺序,首先应用较低的顺序,然后覆盖较高的顺序。
对于您的情况,可能需要为任何需要更改的字段创建一个多字段。例如:如此处所示,创建一个新的关键字多字段,然后可以将新字段引用为
fieldname.raw
。