Question

使用标准配置的ELK堆栈（deviant / docker-elk）

，模板http://localhost:9200/logstash-alimentaris/_mapping/?pretty=true设置为：

{
   "string_fields": {
      "mapping": {
         "fielddata": {},
         "index": "analyzed",
         "omit_norms": true,
         "type": "string",
         "fields": {
            "raw": {
               "ignore_above": 256,
               "index": "not_analyzed",
               "type": "string",
               "doc_values": true
            }
         }
      },
      "match": "*",
      "match_mapping_type": "string"
   }
}

在Kibana，所有原始字段都是空的。有什么可能来研究阻碍Elasticsearch填充原始字段的因素？一种可能性是创建自定义模板：Change default mapping of string to "not analyzed" in Elasticsearch 但是，据记载，原始索引开箱即用，在许多情况下，坚持使用默认配置会更好。什么是可能的解决方案，提示？

Answer 1

Kibana中的逻辑是不在发现窗格中显示原始变量。它们仅在选择“显示缺少的字段”时显示，然后它们表示为空。在可视化中，可以并且应该在大多数聚合中使用.raw字段。

为什么* .raw字段在Kibana中为空？

1 个答案: