Я настраиваю filebeat filebeat.yml для загрузки индекса эластичного поиска шаблоны непосредственно в эластичный поиск.
У меня есть несколько полей, которые я хотел бы проиндексировать как тип keyword и тип text, чтобы я мог использовать их для сортировки и агрегирования, а также для полнотекстового поиска без учета регистра. Это поддерживается с использованием мультиполей , но я не могу понять, поддерживает ли filebeat создание шаблонов для мультиполей.
Например, я бы хотел, чтобы поле copr.service имело типы keyword и text.
setup.template.name: "filebeat-6.6.1-application"
setup.template.fields: "fields.yml"
setup.template.overwrite: true
setup.template.settings:
index.number_of_shards: 8
index.number_of_replicas: 2
index.number_of_routing_shards: 16
index.codec: best_compression
_source.enabled: true
setup.template.append_fields:
- name: corp.environment
type: keyword
- name: corp.service
type: text
- name: corp.role
type: keyword
- name: corp.log.ingestedTimestamp
type: date
Вывод, который я хотел бы видеть из filebeat вasticsearch, выглядит примерно так:
"mappings": {
"properties": {
"service": {
"type": "text",
"fields": {
"raw": {
"type": "keyword"
}
}
}
}
}
Спасибо!
Peter