【发布时间】:2015-10-05 01:27:44
【问题描述】:
我一直在尝试使用 ELK 堆栈一段时间,现在关注网络上的一些资源。但是我没有找到任何重要的资源可以清楚地解释fieldname 和fieldname.raw 之间的区别,对于名称为fieldname 的字段。
在这种情况下没有什么可以尝试的,但我确实尝试过搜索但没有运气。我对此的唯一主要理解是形成 Kibana 窗口(遗憾的是,我不知道如何重现)它说:fieldname 是一个分析字段。没有关于fieldname.raw的信息
我注意到的另一件事是,当我在 Kibana4 Discover 中使用 fieldname.raw: "value" 时,它显示的结果比我看到的 fieldname: "value" 多一点。由于我分别从这些输入中获得了 559 和 554 个结果,因此我无法看到哪些结果丢失了。
我猜后缀 .raw 说明了它的含义 - 它可能是日志本身的一个字段,没有 Logstash 的任何干预。但我想确定这是否是它的意思。如果是这样,那么我如何(更重要的是,为什么?)在分析的领域中得到的结果更少? Logstash 有什么地方做得不对还是配置错误?任何指针表示赞赏。
【问题讨论】:
-
另外,在某些情况下,Discover 搜索查询会在使用
fieldname: "value"时突出显示匹配的文本,而在我使用fieldname.raw: "value"时不会突出显示。
标签: logstash kibana elasticsearch kibana-4