Добрый день, коллеги!
Только начинаю познавать elastic. В общем, установлены elasticsearch+logstash+kibana. Мониторю лог файлового сервера под win. Использую winlogbeat. У меня есть поле event_data.RelativeTargetName, в нем храниться путь до файла вида папка\файл.расширение. Задача искать по логам записи по конкретным файлам.
Попытки делать запрос вида event_data.RelativeTargetName: папка\файл выдает некорректные данные, вид event_data.RelativeTargetName: "папка\файл" не выдает ничего. Почитав немного темы тут - наткнулся на упоминания русскоязычной морфологии - мне это нужно? Буду признателен за советы.
Нашел интересный момент. Когда захожу в management -> index patterns -> winlogbeat то не могу найти в списке полей event_data.RelativeTargetName. А в discover оно есть. Проблема видимо в этом. Как можно исправить?
Mapping у этого индекса какой?
Чтобы посмотреть мапинг, я должен этот индекс найти, верно? В индексах winlogbeat я его найти не могу.
Посмотреть какие winlogbeat индексы у вас есть можно переключившись в режим Dev Tool и набрав следующую команду
GET _cat/indices/winlogbeat-*
Потом можно выбрать последний индекс и посмотреть его Mapping:
GET winlogbeat-XXXX-XX-XX
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.