标签: elasticsearch logstash elastic-stack filebeat
在ELK(Elasticsearch,Logstash,Kibana)的上下文中,我了解到Logstash使用了FILTER来利用grok将日志消息划分到不同的字段中。根据我的理解,它只会使非结构化日志数据变成更结构化的数据。但我不知道Elasticsearch如何利用字段(由grok完成)来提高查询性能?是否有可能像传统的关系数据库一样在字段的基础上构建索引?
答案 0 :(得分:0)
来自Elasticsearch: The Definitive Guide
404
所以你不需要做任何特别的事情。默认情况下,Elasticsearch已经为所有字段编制索引。