elasticsearch 为什么要使用图标标识'；s字段是''；而不是'；t'；像官方的例子是什么？

我是基巴纳的新手

我有以下问题：我通过logstash发送给elasticsearch的字段不能在“可视化”上的许多情况下使用，我注意到它们标记为“？”而不是官方字段那样的“t”

按官方字段，我指的是

filter => {message => "%{COMBINEDAPACHELOG}"}

在logstash.conf上

当我使用：

filter => {"message" => "%{TIMESTAMP_ISO8601:timelog} %{INT:id} %{QUOTEDSTRING:status} %{NUMBER:rkey} %{QUOTEDSTRING:origin} %{QUOTEDSTRING:resource} %{QUOTEDSTRING:result} %{QUOTEDSTRING:statuselastic} %{QUOTEDSTRING:statusmongo} %{QUOTEDSTRING:statusmkp} %{QUOTEDSTRING:my_message} %{TIMESTAMP_ISO8601:created_at} %{TIMESTAMP_ISO8601:last_update}"}

因此，我的字段带有“？”标记，不能用于“可视化”

这是指纹：

我已经尝试使用“映射”设置“类型”属性。但是没有成功。

---

我也尝试过编辑“管理”->“索引模式”上的字段，但标有“？”的字段也不存在。

进入索引设置，点击右上角的“重新加载”按钮（就在红色垃圾桶旁边——如果你将鼠标悬停在上面，它会显示“刷新字段列表”）。如果在将字段添加到kibana后将其添加到索引中，kibana不会自动看到新字段。你必须让它知道有些事情已经改变了