您将需要一个映射来将数据存储在Elasticsearch中并进行搜索-
这就是ES知道如何索引和搜索那些内容类型的方式。您可以让logstash动态创建它,也可以阻止它进行创建,而是手动创建。
请记住,您不能更改现有映射(尽管可以添加到它们中)。因此,首先,您将需要删除现有索引。然后,您将修改设置以防止创建动态映射。同时,您将要创建自己的映射。
例如,这将为logstash数据创建映射,但也通过“ strict”限制任何动态映射的创建:
$ curl -XPUT 'http://localhost:9200/4glogs/logs/_mapping' -d '{ "logs" : { "dynamic": "strict", "properties" : { "@timestamp": { "type": "date", "format": "dateOptionalTime" }, "@version": { "type": "string" }, "message": { "type": "string" } } }}'请记住,索引名称“ 4glogs”和类型“ logs”必须与logstash的内容匹配。
对于我的生产系统,我通常喜欢关闭动态映射,因为它可以避免意外创建映射。
如果要调整动态映射,以下链接应该很有用:
https://www.elastic.co/guide/zh-CN/elasticsearch/guide/current/dynamic-
mapping.html
http://www.elasticsearch.org/guide/zh-CN/elasticsearch/guide/current/custom-
dynamic-
mapping.html
http://www.elasticsearch.org/guide/zh-CN/elasticsearch/guide/current/dynamic-
mapping.html
