logstash在向elasticsearch输出数据时的动态映射模板问题

最新推荐文章于 2024-09-23 08:00:00 发布
最新推荐文章于 2024-09-23 08:00:00 发布
阅读量8.2k 收藏 2
点赞数
分类专栏: Logstash 文章标签: logstash elasticsearch template 映射模板 jdbc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lvyuan1234/article/details/78411411
版权

      使用logstash-input-jdbc插件同步mysql数据到elasticsearch,系统会使用一个默认的动态映射模板,模板名字为logstash。在启动logstash过程中你会看到如下信息

Using mapping template from {:path=>nil}

Attempting to install template{:manage_template=>{"template"=>"logstash-*","version"=>50001,"settings"=>{"index.refresh_interval"=>"5s"},"mappings"=>{"_default_"=>{"_all"=>{"enabled"=>true,"norms"=>false},"dynamic_templates"=>[{"message_field"=>{"path_match"=>"message","match_mapping_type"=>"string", "mapping"=>{"type"=>"text","norms"=>false}}},{"string_fields"=>{"match"=>"*","match_mapping_type"=>"string","mapping"=>{"type"=>"text","norms"=>false,"fields"=>{"keyword"=>{"type"=>"keyword"}}}}}],"properties"=>{"@timestamp"=>{"type"=>"date","include_in_all"=>false},"@version"=>{"type"=>"keyword","include_in_all"=>false},"geoip"=>{"dynamic"=>true,"properties"=>{"ip"=>{"type"=>"ip"},"location"=>{"type"=>"geo_point"},"latitude"=>{"type"=>"half_float"},"longitude"=>{"type"=>"half_float"}}}}}}}}

Installing elasticsearch template to_template/logstash

      你看第一行path=>nil表示没有找到自定义模板,那就使用默认模板,并且最后将模板存储在elasticsearch模板路径中,以logstash命名。模板内容:


{
    "template":"logstash-*",
    "version": 50001,
    "settings": {
        "index.refresh_interval":"5s"
    },
    "mappings": {
        "_default_": {
            "_all": {
                "enabled": true,
                "norms": false
            },
            "dynamic_templates": [
                {
                    "message_field":{
                        "path_match":"message",
                       "match_mapping_type": "string",
                        "mapping": {
                            "type":"text",
                            "norms":false
                        }
                    }
                },
                {
                    "string_fields":{
                        "match": "*",
                       "match_mapping_type": "string",
                        "mapping": {
                            "type":"text",
                            "norms":false,
                            "fields":{
                               "keyword": {
                                   "type": "keyword"
                                }
                            }
                        }
                    }
                }
            ],
            "properties": {
                "@timestamp": {
                    "type":"date",
                    "include_in_all":false
                },
                "@version": {
                    "type":"keyword",
                    "include_in_all":false
                },
                "geoip": {
                    "dynamic": true,
                    "properties": {
                        "ip": {
                            "type":"ip"
                        },
                        "location": {
                            "type":"geo_point"
                        },
                        "latitude": {
                            "type":"half_float"
                        },
                        "longitude":{
                            "type":"half_float"
                        }
                    }
                }
            }
        }
    }
}

       他会帮我们自动映射同步过来的字段,但是有一个不好的地方是大部分text类型都分词,而我自己的需求更多是不分词,所以要自定义映射;刚开始我没意识到模板的优先级,我是没改模板配置,一切都是默认,只不过在启动logstash之前,我先用curl  -XPUT命令在es集群上创建了不分词的映射,但是发现同步完数据后并没生效,这才意识到logstash的output插件优先级高于你在集群上创建的映射。所以接下来修改模板并覆盖默认的。

   首先用命令删除默认的模板:

curl –XDELETE–u elastic ‘192.168.11.31:8011/_template/logstash’

然后新建一个文件es-template.json,名字随便起,在默认模版的内容上修改一下,粘进去,我这里将text类型全部不分词,一下是模板内容

{
  "template": "my_index",
  "settings" : {
    "index.refresh_interval" :"5s"
  },
  "mappings" : {  
    "_default_" : {  
      "_all" : {"enabled":false, "omit_norms" : true},  
      "dynamic_templates" : [ {  
        "message_field" : {  
          "match" :"message",  
          "match_mapping_type" :"string",  
          "mapping" : {  
            "type" :"string", "index" : "not_analyzed","omit_norms" : true,  
            "fielddata" : {"format" : "disabled" } 
          } 
        } 
      }, { 
        "string_fields" : {  
          "match" :"*",  
          "match_mapping_type" :"string",  
          "mapping" : {  
            "type" :"string", "index" : "not_analyzed","omit_norms" : true,  
            "fielddata" : {"format" : "disabled" }, 
            "fields" : {  
              "raw" :{"type": "string", "index" :"not_analyzed", "ignore_above" : 256}  
            } 
          } 
        } 
      } ] 
    }  
  }  
}

然后是logstash的启动文件jdbc.conf里面output模块配置:

if[type] =="my_type"{
        elasticsearch {
           hosts => ["192.168.110.31:8011","192.168.110.31:8012","192.168.110.31:8013"]
           user => "elastic"
           password => "abc123qwer"
           index => "my_index"
           document_id => "%{id}"
           #manage_template =>"false"
           template =>"/home/lvyuan/elasticsearch/logstash-5.5.3/template/es-template.json"
           template_name =>"my_index"
           template_overwrite =>"true"
 
        }
 }


       启动前先删除以前创建的索引和模板,启动后发现没生效的话,一定要先删除索引和模板(是存储到_template下的模板,不是这个模板物理文件),然后再修改再运行看看。

curl -XDELETE-u elastic 'http://192.168.110.31:8011/_template/my_index'

curl -XDELETE-u elastic 'http://192.168.110.31:8011/my_index'


       因为我的初衷是elasticsearch替代mysql的sql语句查询,并不想全文搜索,所以分词还可能影响我的功能,例如有一个字段在mysql中是存储一段既有大写有小写间杂的字母序列(eg:HTZG5jjhffdwe),当采用默认的映射模板(会分词)时,会将这个字母序列先全部转为小写再存入token中,这样的话,用termQuery(不分词,精确匹配)肯定找不到,有人会说可以用matchPhraseQuery,这个的确可以查到;但是如果我想用前缀匹配时prefixQuery(不分词)就查不到了,用以小写的“htzg5”开头的前缀可以匹配到,但是用大写的就匹配不到,token表里全是小写的,肯定匹配不到。所以说具体情况具体分析,不是所有情况下都应该分词。你可以试一下:

http://localhost:8011/_analyze?pretty&analyzer=standard&text=HTZG5jjhffdEX7w52r37880    全转为小写存入token

:{"tokens":[{"token":"htzg5jjhffdex7w52r37880","start_offset":0,"end_offset":22,"type":"<ALPHANUM>","position":0}]}

     

参考地址:http://blog.csdn.net/asia_kobe/article/details/51192848

                  http://www.cnblogs.com/NextNight/p/6860283.html

                  http://www.cnblogs.com/cocowool/p/elk_dynamic_templates.html

                  https://elasticsearch.cn/article/21

                  http://m.blog.csdn.net/u012516166/article/details/75106184


风雨诗轩
关注
专栏目录
使用logstash同步数据Elasticsearch,未按照Tempalet的配置生成索引
不二的博客
09-23 1061
项目场景: 使用logstash同步数据Elasticsearch,并未按照设置的模板去创建索引 问题描述: 今天在使用logstash同步mysql数据到ES中的候,因为涉及到中文分词,所以创建了一个模板,将string_fields的分词器设置为ik_max_word,然后在output中使用模板输出,最后文档顺利生成,但是我发现生成的索引映射和我定义的模板不符,并没有将analyzer设置成ik_max_word 下面是我的模板和生成后的索引映射 template(截取了一部分,主要关
logstash -> output -> elasticsearch动态模板说起
很多时候,你缺少的不是知识而是热情
11-12 8098
logstash索引映射"mappings": { "_default_": { "dynamic_templates": [ { "string_fields": { "mapping": { "index": "analyzed"
logstash将Mysql中数据映射ElasticSearch
xiao-啸
12-07 655
logstash将Mysql中数据映射ElasticSearch中 安装Logstash 下载Logstash6.8.9版本,因为使用的Elasticsearch6.8.9版本一致。 解压后如下 安装logstash-input-jdbc logstash-input-jdbc 是ruby开发的,先下载ruby并安装 windows去下载地址: https://rubyinstaller.org/downloads/ 。 mac下载 brew install ruby 查
ELK - logstash 动态指定动态模板
面朝大海,春暖花开
01-31 1664
ELK - logstash 动态指定动态模板 基于 es: 7.10.x 写在前面 通过logstash写到es的数据,es 默认匹配logstash* 的模板, 并且 索引( index )名称也会自动加上 logstash-, 默认的 logstash 模板为: GET /_template/logstash { "logstash" : { "order" : 0, "version" : 60001, "index_patterns" : [ "logsta
Elasticsearch系列廿】Logstash 学习
最新发布
檀越的博客
09-23 2万+
下载地址输入插件地址过滤器插件输出插件logstash 是一个数据抽取工具,将数据从一个地方转移到另一个地方。如 hadoop 生态圈的 sqoop 等。logstash 之所以功能强大和流行,还与其丰富的过滤器插件是分不开的,过滤器提供的并不单单是过滤的功能,还可以对进入过滤器的原始数据进行复杂的逻辑处理,甚至添加独特的事件到后续流程中。Logstash 配置文件有如下三部分组成,其中 input、output 部分是必须配置,filter 部分是可选配置,而 filter 就是过滤器插件。
elasticsearch通过组合使用自定模板动态模板映射logstash数据
yulio1234的博客
11-17 3522
logstash传输给es的数据会自动映射为5索引,5备份,字段都为text的的索引。这样基本上无法进行数据分析。 所以必须将logstash数据按照既定的格式存储在es中,这候就要使用到es模板技术了。在es中可以定义了自定义模板动态模板,之后es会自动将相关索引映射模板规定的格式。模板格式如下:{ "template": "tomcat*", "settings": {
***logstash 将oracle数据抽取到elasticsearch的字段映射问题***
fu414528910的博客
11-06 1332
问题描述:一次在logstash抽取数据候,在其配置文件里面写sql定义字段映射候(select fn as “fN” from table ),发现抽取到elasticsearch中的字段为全小写,驼峰命名不起作用,后来发现 elasticsearch 导入的字段名称默认为全小写, 百度不到百度不到百度不到~ 然后去瞄了一眼官方文档,需要在配置文件里面加上如下配置: #ora...
五分钟带你玩转Elasticsearch(十六)logstash将@timestamp映射为其他字段
小鲍侃java
01-18 1098
楼主在使用spring boot查询es遇到一个问题 想使用间进行筛选 但是在spring boot中@timestamp获取不到 想法是在插入 根据@timestamp复制一个字段 配置方案 修改/logstash/bin中的配置文件 在filter中添加 ruby { code => "event['time'] = event['@timestamp']" } mutate { add_field => ["tim.
logstash-template模板logstash.json
06-14
- **配置Logstash**:在Logstash输出部分,通过`elasticsearch`插件的`template`选项引用已加载的模板。 - **验证和调试**:确保数据被正确地索引和分析,可以使用Elasticsearch的`GET _mapping` API检查模板...
windows下Logstash6.5.3版本读取文件输入不生效、配置elasticsearch模板数据入es报错:Rejecting mapping update to [hello-world-...
wuxun1997的专栏
09-11 651
  首先讲个题外话。logstash配置文件hello-world.json上篇也提到过,不过那是7.9.0版本的,注意mapping下面是没有type的,因为默认的type就是_doc: { "index_patterns": ["hello-world-%{+YYYY.MM.dd}"], "order": 0, "settings": { "inde...
logstash采集规范与elasticsearchtemplatemapping 详细介绍
我的博客
03-14 1万+
logstash 采集 kafka 写入es 流程规范请尊重知识产权,博客原文地址 http://blog.csdn.net/qq1032355091/article/details/79558649本文主要介绍es的templatemapping配置,通过logstash的采集流程规范,更加容易深入理解到底什么是templatemapping配置背景知识什么是mapping?mappi...
ELK数据字段映射
tom_fans的博客
03-01 3224
ES的索引的建立过程通常是先建立索引,然后添加mapping关系,最后进行POST,PUT,GET等操作。那么filebeat以及logstash和ES交互的mapping关系是怎么定义呢?先说说filebeat,之前提到过,这个东西是个采集器,虽然也有output功能,但是由于没有拆分字段的能力(module功能是否可以拆分还有待确定, 暂没也打算去用这个功能),因此采集到的日志一行就是一...
Elasticsearch 入门:logstash 5.0.0 安装及输出数据elasticsearch
01-14 8346
首先安装:elasticsearch 、 kibana 、 curl ,以下测试会用到。 安装参考: Elasticsearch 入门:CentOS 5.6 安装 Elasticsearch 5.0 Elasticsearch 入门:Elasticsearch 5.0 安装 kibana 5.0 Elasticsearch 入门:安装 curl 及加载案例数据
ElasticSearch 使用 Logstash 从 MySQL 中同步数据
java思维导图
04-18 451
作者:皇上得了花柳病链接:https://www.jianshu.com/p/70f9faeebc6f目的是希望将现有的数据导入到 ElasticSearch 中,研究了好几种,除了写代...
logstash 读取日志信息输出elasticsearch完成查询
Master_chaoAndQi的博客
11-10 4517
1 新建test2.conf文件 input { file { path =&gt;"/soft/elasticsearch-6.4.3/logs/elasticsearch.log"#elasticsearch日志信息 #codec =&gt;"json" type =&gt;"elasticsearch" star...
Logstash指定部分output的document_id
weixin_42119008的博客
09-11 4336
需求 有两个Filebeat进行日志采集,通过同一个logstash输出ElasticSearch,其中一个采集器a中需要指定一个字段key_id为document_id,以确保以此字段进行重复过滤,另一个采集器b使用默认生成的document_id。 logstash配置 input { beats { port => 5044 host => "0.0.0.0" ssl => false } } filter{
mysql数据抽取同步至elasticsearch
热门推荐
loup的专栏
07-04 2万+
了解了几种方式:    1.使用mysql的binlog日志,这个可以使用阿里的canal,进行同步至es中    2.使用es官方推荐的logstash-input-jdbc,这是logstash的一个插件,源码地址logstash-input-jdbc首先,安装logstash,此处不再赘述,由于logstash-input-jdbc使用ruby快发,所以还需要安装ruby,选择下载安装,安装...
logstash5.5.2部署-03
十里平湖的博客
08-08 7186
ubuntu16.041、安装前必须有Javajava -version java version "1.8.0_65" Java(TM) SE Runtime Environment (build 1.8.0_65-b17) Java HotSpot(TM) 64-Bit Server VM (build 25.65-b01, mixed mode) 2、aptwget -qO - https:
Logstash同步数据库到ES,以及踩坑记录
龙喵先森的博客
04-28 6356
前言 前段间搭建了Elasticsearch 和 Kibana,顺手把Logstash给装了,这篇文章是把我在用Logstash同步数据数据到ES中遇到的问题记录下来 准备 一个至少装有 ElasticsearchLogstash 的主机 同步准备 创建一个存放配置目录,并新建一个 jdbc.sql SQL文件,写入需要同步的SQL并保存 jdbc.conf (mysql) inp...
Elasticsearch学习心得与总结精华
- Elasticsearch的生态系统十分丰富,包括Kibana、Beats、Logstash等工具,这些工具可以和Elasticsearch一起使用,用于数据可视化、日志收集和数据处理等。 - Elasticsearch社区十分活跃,用户可以通过社区论坛、...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值