Допустим, у меня есть документы следующего типа и много индексов (сотен), подобных этому в день (Ts данных в день):
{
"date_time":"07/May/2019:02:37:19 +0000",
"ip":"17.15.15.15",
"status":"200",
"request_url":"https://my.domain.com/some/long/path/to/page",
"response_time": "0.01"
}
Первые 3 поля (date_time, ip, status)будет искать / агрегировать много, несколько раз в секунду / мин.
Последние два поля (request_url, response_time) будут искать очень редко - один раз в месяц или даже несколько месяцев - ноони будут найдены.
Что будет наиболее эффективным отображением для этих требований?Очевидно, что первые 3 поля должны быть полностью проиндексированы, как doc_type.
Как насчет последних 2, редко ищущих?Если я полностью отключу их индексирование - установите «enabled» = FALSE (мне нужно было бы переместить их в отдельный объект, поскольку отдельные поля AFAIK не могут быть отключены, только объекты) - тогда я никогда не смогу их искать,если я не буду искать содержание _source.Учитывая объем данных, которые у меня есть (Ts данных, сотни индексов в день) - это убьет мой кластер:)
Я почти ищу вариант, подобный "замороженным" индексам -для которых структуры индексации загружаются в память по требованию.Но мне это нужно на уровне поля, а не на уровне всего индекса.Так что только подмножество полей будет «проиндексировано по требованию»
Есть предложения?
Спасибо!
Марина