Logstash not_analyzed

Question

Я всего Newby к ELK стеки и, вероятно, пытаюсь установить гораздо сложную конфигурацию, чтобы начать с ... :-)

Я бегом всего стека на Windows 7 ноутбука. и я импортирую CSV, который идет хорошо, но я не могу заставить поле строки НЕ анализироваться, что дает мне разбитый текст в визуализации кибаны.

Последняя попытка была с шаблоном.

Оба шаблона и файл conf находятся в каталоге c: \ logstash-1.5.0 \ bin.

Это файл конф:

input { 
    file { 
     path => "C:\Users\jeroen\Documents\temp\CSV\ElasticSearch_Input_vc.csv" 
     type => "core2" 
     start_position => "beginning"  } 
} 

filter { 
csv { 
    columns => ["snapshot_date_time","Country","Tower","Service","Division","USD Group","Ref Nr","Processtype","Importance","Priority","Severity","Status and Reason","Category","Is_Valid_Category","Summary","Open Date Time","Closed Date Time","Opened By","Last Modified","Resolve Completed Date Time","Hrs_Assigned_To_Completed","First Assign Date Time","Hrs_New_To_Assign","Customer Organization","Requested By","Assignee","Active Flag","In Out SLA Resolution 1"] 

    separator => ";" 
} 
date 
{ match => [ "snapshot_date_time", "yyyy-MM-dd HH:mm:ss" ] } 
mutate { 
convert => { "Hrs_Assigned_To_Completed" => "float" } 
convert => { "Hrs_New_To_Assign" => "float" } 
    } 
} 
output { 
elasticsearch { 
    action => "index" 
    host => "localhost" 
    index => "qdb-%{+YYYY.MM.dd}" 
    workers => 1 
    template => "template.json" 
} 
#stdout { 
    #codec => rubydebug 
#} 
} 

И это шаблон (который честно говоря, я просто скопировал из другой темы и изменил «имя шаблона») И я в сомнении, что делать с 7 линии, как это, вероятно, специфичным для данных, используемых отправителем ...

#template.json: 
{ 
"template": "qdb-%{+YYYY.MM.dd}", 
"settings" : { 
    "number_of_shards" : 1, 
    "number_of_replicas" : 0, 
    "index" : {"query" : { "default_field" : "userid" } 
    } 
}, 
"mappings": { 
    "_default_": { 
     "_all": { "enabled": false }, 
     "_source": { "compress": true }, 
     "dynamic_templates": [ 
      { 
       "string_template" : { 
        "match" : "*", 
        "mapping": { "type": "string", "index": "not_analyzed" }, 
        "match_mapping_type" : "string" 
       } 
      } 
     ], 
     "properties" : { 
      "date" : { "type" : "date", "format": "yyyy-MM-dd HH:mm:ss"}, 
      "device" : { "type" : "string", "fields": {"raw": {"type": "string","index": 
"not_analyzed"}}}, 
      "distance" : { "type" : "integer"} 
    } 
} 
} 

Любая помощь/советы/советы приветствуются!

Answer 1

то, что вам нужно это сделать отображение в первом ElasticSearch после импорта данных с помощью logstash, а затем вы увидите свои данные в данной Wich Kibana не проанализированного

http://host:9200/yourindex/_mapping/yourtype 

{ 
"your type": { 
"properties": { 
    "user" : { 
    "type" : "string", 
    "index": "not_analyzed", 
    "data" : { 
    "type" : "string", 
    "index": "not_analyzed" 
    } 
    } 

Answer 2

Вы можете использовать переменный " .raw "

например, в моей конфигурации. Я устанавливаю sourceip как переменную.

В моих визуализациях у меня есть возможность использовать sourcip.raw, это будет ваша версия not_analyzed этой переменной.

Проверьте, существует ли это.