Logstash/Kibana:向Kibana中的现有索引添加新字段
目前,我有以下用于过滤防火墙日志的索引模板:Logstash/Kibana:向Kibana中的现有索引添加新字段,logstash,kibana,Logstash,Kibana,目前,我有以下用于过滤防火墙日志的索引模板: GET /_template/my_logstash { "my_logstash" : { "order" : 1000, "index_patterns" : [ "filebeat-*", "firewall-*", "syslog-*", ], &qu
GET /_template/my_logstash
{
"my_logstash" : {
"order" : 1000,
"index_patterns" : [
"filebeat-*",
"firewall-*",
"syslog-*",
],
"settings" : {
"index" : {
"analysis" : {
"analyzer" : {
"whitespace_lowercase" : {
"filter" : [
"lowercase"
],
"tokenizer" : "whitespace"
},
"keyword_lowercase" : {
"filter" : [
"lowercase"
],
"tokenizer" : "keyword"
}
}
},
"mapping" : {
"total_fields" : {
"limit" : "3000"
}
}
}
},
"mappings" : {
"doc" : {
"dynamic" : "true",
"properties" : {
"bytes" : {
"type" : "long"
},
"bytes_in" : {
"type" : "long"
},
"bytes_out" : {
"type" : "long"
},
"dest_port" : {
"type" : "integer"
},
"src_port" : {
"type" : "integer"
},
"dest_translated_ip" : {
"type" : "ip"
},
"src_translated_ip" : {
"type" : "ip"
},
"dest_ip" : {
"type" : "ip"
},
"src_ip" : {
"type" : "ip"
},
"host" : {
"type" : "text",
"analyzer" : "whitespace_lowercase",
"fields" : {
"keyword" : {
"type" : "keyword"
}
}
},
"logsource" : {
"type" : "text",
"analyzer" : "whitespace_lowercase",
"fields" : {
"keyword" : {
"type" : "keyword"
}
}
},
"program" : {
"type" : "text",
"analyzer" : "whitespace_lowercase",
"fields" : {
"keyword" : {
"type" : "keyword"
}
}
},
"source" : {
"type" : "text",
"analyzer" : "keyword_lowercase",
"fields" : {
"keyword" : {
"type" : "keyword"
}
}
},
"sourcetype" : {
"type" : "text",
"analyzer" : "whitespace_lowercase",
"fields" : {
"keyword" : {
"type" : "keyword"
}
}
},
"username" : {
"type" : "text",
"analyzer" : "whitespace_lowercase",
"fields" : {
"keyword" : {
"type" : "keyword"
}
}
},
"geoip" : {
"properties" : {
"ip" : {
"type" : "ip"
},
"location" : {
"type" : "geo_point"
},
"latitude" : {
"type" : "half_float"
},
"longitude" : {
"type" : "half_float"
}
}
}
}
}
},
"aliases" : { }
}
}
我想将以下字段添加到映射/doc
:
"domain": {
"type": "text",
}
"threat_contenttype": {
"type": "text",
}
我想通过Kibana的控制台来做这件事。通过阅读logtash doco,我认为可能是这样的:
PUT /_template/my_logstash/_mapping
"domain": {
"type": "text",
}
"threat_contenttype": {
"type": "text",
}
这是正确的吗?我不确定它是否是,我太害怕运行它,以防它破坏我当前的索引。
我不想将这些字段添加到当前数据中-我只想将这些新字段用于将要向logstash发送日志的一些新防火墙设备
感谢你的想法
J您更新的任何映射模板将仅用于创建新索引,不会影响已索引的数据 Elastic支持动态映射,因此当您使用附加字段索引新数据时,它们将自动添加。但是,由于特定的原因,您可能希望控制映射 更改已存在索引字段的类型时,可能需要更加小心。看看下面的链接