我正在尝试在Logstash索引的“主机”属性上搜索服务器名称。
我正在Kibana的“发现”选项卡上搜索。
当我在搜索栏中录制 sl00pm 时,我得到了:
未找到结果
但是当我添加星号(*)并搜索 sl00pm * 时,我得到了:
主持人: sl00pm.soo85 .poly-vale.intra日期:2019-03-20 15:23:10,591
我不明白为什么。
但是当我为另一个服务器名称 slzq85 做相同的操作时,我得到了:
主持人: slzq85 .soo85.poly-vale.intra日期:2019年3月21日:09:24:56 +0100
这就是我所期望的。
这是我在LogStash上的索引的定义:
{
"logstash-2019.03.20": {
"aliases": {},
"mappings": {
"apache-access": {
"_all": {
"enabled": true,
"norms": false
},
"dynamic_templates": [
{
"message_field": {
"match": "message",
"match_mapping_type": "string",
"mapping": {
"index": "analyzed",
"omit_norms": true,
"type": "string"
}
}
},
{
"string_fields": {
"match": "*",
"match_mapping_type": "string",
"mapping": {
"fields": {
"raw": {
"ignore_above": 256,
"index": "not_analyzed",
"type": "string"
}
},
"index": "analyzed",
"omit_norms": true,
"type": "string"
}
}
}
],
"properties": {
"@timestamp": {
"type": "date"
},
"@version": {
"type": "keyword"
},
"date": {
"type": "text",
"norms": false,
"fields": {
"raw": {
"type": "keyword",
"ignore_above": 256
}
}
},
"host": {
"type": "text",
"norms": false,
"fields": {
"raw": {
"type": "keyword",
"ignore_above": 256
}
}
}
}
},
},
"settings": {
"index": {
"refresh_interval": "5s",
"number_of_shards": "5",
"provided_name": "logstash-2019.03.20",
"creation_date": "1553036402235",
"number_of_replicas": "1",
"uuid": "mCSFLYGETPm6qbgOwShHog",
"version": {
"created": "5060399"
}
}
}
}
}
和版本:
version": {
"number": "5.6.3",
"lucene_version": "6.6.1"
},
您能告诉我为什么我的成绩不好吗?
我想补充一点,我正在使用映射类型,并且在我的Index的不同映射类型中具有相同的属性,但是具有与上述相同的定义
致谢
答案 0 :(得分:0)
该行为的原因是分析器断了字。标准分析器根据UAX #29中列出的规则来打断单词。尤其是规则WB6和WB11。
基本上,不会打乱带有'。'的字母。在中间(例如:“ ab.cd”),或在带有“。”的数字上在中间(例如:“ 12.34”),但数字和字母之间用“。”分隔会中断。 (例如:“ 12.cd”)。
因此,在您的索引中,“ sl00pm.soo85”被索引为单个令牌,但是“ slzq85.soo85”被分为两个令牌:“ slz85”和“ soo85”。
标准分析仪设计为在文本上表现最佳。单词和句子。对于您正在查看的标识符,您可以尝试使用其他分析仪,也许是PatternAnalyzer。