Существует levelпроанализирован поле со значениями как "INFO", "WARN", "ERROR" ...Объединить ведра с таким же именем, игнорируя регистр
Иногда значения могут быть строчными как "info". создано
Когда я делаю простые термин агрегацию в Kibana 2 ведра: одно для "INFO", а другие для "info".
Я установил флаг CASE_INSENSITIVE без каких-либо успехов.
Можно ли получить такое поведение, не касаясь лексемизацию этого поля на ElasticSearch уровне?
ОК, наконец, я нашел способ сделать это:
levelStringUpper CaseUpdate Field кнопкуТеперь, когда я строю большинство визуализаций "INFO" и "info" считаются то же и сливаются.
Но таблицы все еще продолжают считать их отличными, даже если оба они выглядят как "INFO"!
Вы можете достичь этого через scripting. Хотя scripting не рекомендуется, так как он делает запрос очень медленным, но если вы хотите получить результат, не касаясь tokenization, вы можете использовать нижеприведенный запрос.
{
"aggs" : {
"group_level_ignore_case" :{
"terms" : {
"script" : "doc['level'].value.toLowerCase()"
}
}
}
}
Надеюсь, это поможет.
Спасибо за предложение. Это кажется хорошим решением, но я получаю странную ошибку «Неизвестный ключ для START_OBJECT в [2]: [aggs]». Я предполагаю, что формат не тот, который ожидается моей настройкой (** ES 4.2 ** + ** Kibana 4.4 **). – Pragmateek
Как вы можете получить ES 4.4. Последняя версия эластичного поиска - ES 2.2.0, выпущенная на прошлой неделе. – Richa
Я имею в виду ** ES 2.2 **, я не путешествую во времени :) – Pragmateek
У вас есть logstash? –
Нет, мы не используем ** LogStash ** для этих журналов, они непосредственно вводятся в ES с помощью ** log4net appender ** (github.com/jptoto/log4net.ElasticSearch). – Pragmateek
Очевидно, что очистка их перед тем, как положить их в elasticsearch, будет лучше. Logstash отлично подходит для этого, или, может быть, вы можете найти какой-то другой способ в вашем потоке. –