Logstash/Kibana：向Kibana中的现有索引添加新字段

目前，我有以下用于过滤防火墙日志的索引模板：

GET /_template/my_logstash

{
  "my_logstash" : {
    "order" : 1000,
    "index_patterns" : [
      "filebeat-*",
      "firewall-*",
      "syslog-*",
    ],
    "settings" : {
      "index" : {
        "analysis" : {
          "analyzer" : {
            "whitespace_lowercase" : {
              "filter" : [
                "lowercase"
              ],
              "tokenizer" : "whitespace"
            },
            "keyword_lowercase" : {
              "filter" : [
                "lowercase"
              ],
              "tokenizer" : "keyword"
            }
          }
        },
        "mapping" : {
          "total_fields" : {
            "limit" : "3000"
          }
        }
      }
    },
    "mappings" : {
      "doc" : {
        "dynamic" : "true",
        "properties" : {
          "bytes" : {
            "type" : "long"
          },
          "bytes_in" : {
            "type" : "long"
          },
          "bytes_out" : {
            "type" : "long"
          },
          "dest_port" : {
            "type" : "integer"
          },
          "src_port" : {
            "type" : "integer"
          },
          "dest_translated_ip" : {
            "type" : "ip"
          },
          "src_translated_ip" : {
            "type" : "ip"
          },
          "dest_ip" : {
            "type" : "ip"
          },
          "src_ip" : {
            "type" : "ip"
          },
          "host" : {
            "type" : "text",
            "analyzer" : "whitespace_lowercase",
            "fields" : {
              "keyword" : {
                "type" : "keyword"
              }
            }
          },
          "logsource" : {
            "type" : "text",
            "analyzer" : "whitespace_lowercase",
            "fields" : {
              "keyword" : {
                "type" : "keyword"
              }
            }
          },
          "program" : {
            "type" : "text",
            "analyzer" : "whitespace_lowercase",
            "fields" : {
              "keyword" : {
                "type" : "keyword"
              }
            }
          },
          "source" : {
            "type" : "text",
            "analyzer" : "keyword_lowercase",
            "fields" : {
              "keyword" : {
                "type" : "keyword"
              }
            }
          },
          "sourcetype" : {
            "type" : "text",
            "analyzer" : "whitespace_lowercase",
            "fields" : {
              "keyword" : {
                "type" : "keyword"
              }
            }
          },
          "username" : {
            "type" : "text",
            "analyzer" : "whitespace_lowercase",
            "fields" : {
              "keyword" : {
                "type" : "keyword"
              }
            }
          },
          "geoip" : {
            "properties" : {
              "ip" : {
                "type" : "ip"
              },
              "location" : {
                "type" : "geo_point"
              },
              "latitude" : {
                "type" : "half_float"
              },
              "longitude" : {
                "type" : "half_float"
              }
            }
          }
        }
      }
    },
    "aliases" : { }
  }
}

我想将以下字段添加到

映射/doc

：

     "domain": {
          "type": "text",
          }

     "threat_contenttype": {
          "type": "text",
          }

我想通过Kibana的控制台来做这件事。通过阅读logtash doco，我认为可能是这样的：

PUT /_template/my_logstash/_mapping
     "domain": {
          "type": "text",
          }

     "threat_contenttype": {
          "type": "text",
          }

这是正确的吗？我不确定它是否是，我太害怕运行它，以防它破坏我当前的索引。 我不想将这些字段添加到当前数据中-我只想将这些新字段用于将要向logstash发送日志的一些新防火墙设备

感谢你的想法

---

J

您更新的任何映射模板将仅用于创建新索引，不会影响已索引的数据

Elastic支持动态映射，因此当您使用附加字段索引新数据时，它们将自动添加。但是，由于特定的原因，您可能希望控制映射

更改已存在索引字段的类型时，可能需要更加小心。看看下面的链接