мы обновили ELK от 2,4 до 5.x, что было довольно успешным. Однако, когда новые индексы были созданы, logstash начал использовать new naming convention для непроанализированного поля. Таким образом, индексы до использования обновления используют .raw, а так как обновление .keyword, которое сложно использовать в Кибане;)ElasticSearch/Logstash 5 - переименовать .raw в .keyword
Я прочитал несколько документов о том, как их решить, но не совсем понял. Одно из предложений заключалось в том, чтобы использовать reindex api ES и переименовать .raw, но, как уже упоминалось, я не совсем уверен, как это будет работать. Я мог бы жить с копированием .raw в .keyword вместо того, чтобы переименовывать его.
Данные представлены в основном apache-logs с ~ 500 индексами.
Я очень ценю простое решение и, если возможно, даже с самого начала в качестве примера, как насыпной-процесс, который
EDIT:
Я в конечном итоге переиндексации все через logstash (elasticsearch как входной и выходной плагин). Может быть, это может быть полезно для кого-то ..