您的假设是正确的,即这些
.raw字段是Logstash创建IF的默认索引模板
manage_template:true(默认情况下)中包含的字符串字段的动态模板的结果。
Logstash创建的默认模板(从2.1开始)可以在此处看到。如您在第26行所看到的,所有字符串字段(
message一个字符串字段除外)都
not_analyzed
.raw创建了一个子字段。
但是,该模板在最新的Logstash版本中没有更改,可以在
template.json更改历史记录中看到,因此您的安装肯定有其他问题,或者您更改了Logstash配置以使用自己的索引模板(无
.raw字段)代替。
如果运行
curl -XGET localhost:9200/_template/logstash*,应该会看到Logstash创建的模板。
