fluentdからelasticsearchの生のフィールドを追加

Question

私は、アプリケーションノードにFluentDが​​インストールされている集中ログシステムを設定しました。アプリケーションノードのFluentDは、処理されたログをコレクタノードのFluentDに転送します。このコレクタノードのFluentDは、さまざまな出力に転送します.1つはElasticSearchクラスタです。私はキバナを走らせてESから読みます。

木場の一部のデータを特定のデータフィールドで視覚化しようとしているとき、木場は物事を正しくグループ化していません。たとえば、電子メールアドレスは複数の値（名前、ドメインなど）とみなされます。いくつかの研究をした後、私のフィールドが.rawの値として複製されるように設定する必要があるということが私の理解である。 （分析対分析なし）

FluentDにこのデータをElasticsearchに追加して.rawフィールドを追加する方法がわかりません。おそらく、これはLogstashがデフォルトで行うものです。私は流暢-プラグインelasticsearchを使用しています

：https://github.com/uken/fluent-plugin-elasticsearch

Answer 1

をあなたのフィールドをトークン化からElasticsearchを停止するにはnot_analyzedとして、あなたは、インデックスを削除したい（または新規作成）よby updating the index mapping.フィールドを指定することができます既存の索引で既存のマッピングを変更することはできないため、この変更が有効になることを確認してください。

{ 
    "email": { 
    "type":  "string", 
    "index": "not_analyzed" 
    } 
}