问题:logstash geoip.location 映射到 geo_point 不起作用

我可以在我的默认映射中看到 geoip.location 映射到 geo_point 类型:

GET myserver:9200/_template
    {
      "logstash": {
        "order": 0,
        "version": 50001,
        "template": "logstash-*",
        "settings": {
          "index": {
            "refresh_interval": "5s"
          }
        },
        "mappings": {
          "_default_": {
            "dynamic_templates": [
              {
                "message_field": {
                  "path_match": "message",
                  "mapping": {
                    "norms": false,
                    "type": "text"
                  },
                  "match_mapping_type": "string"
                }
              },
              {
                "string_fields": {
                  "mapping": {
                    "norms": false,
                    "type": "text",
                    "fields": {
                      "keyword": {
                        "type": "keyword"
                      }
                    }
                  },
                  "match_mapping_type": "string",
                  "match": "*"
                }
              }
            ],
            "_all": {
              "norms": false,
              "enabled": true
            },
            "properties": {
              "@timestamp": {
                "include_in_all": false,
                "type": "date"
              },
              "geoip": {
                "dynamic": true,
                "properties": {
                  "ip": {
                    "type": "ip"
                  },
                  "latitude": {
                    "type": "half_float"
                  },
                  "location": {
                    "type": "geo_point"
                  },
                  "longitude": {
                    "type": "half_float"
                  }
                }
              },
              "@version": {
                "include_in_all": false,
                "type": "keyword"
              }
            }
          }
        },
        "aliases": {}
      }
    }

我在 logstash 过滤器中有这个,可以从我的一个字段中获取 geoip 数据:

geoip {
  source => "myField"
  add_field => [ "[geoip][coordinates]", "%{[geoip][longitude]}" ]
  add_field => [ "[geoip][coordinates]", "%{[geoip][latitude]}"  ]
}
mutate {
  convert => [ "[geoip][coordinates]", "float"]
}

但是,当它进入 ES 时,位置字段是一个“数字”在此处输入图像描述

此外,如果我尝试使用 kibana 地图可视化,它会显示“无兼容字段”

为什么默认映射不起作用?

编辑:我也尝试了geoip { source => "myfield"}因为我的默认映射使用位置而不是坐标,但这不起作用。

我也摆脱了变异并尝试了这个,但它也不起作用:

geoip {
  source => "myfield"
  add_field => [ "[geoip][location]", "%{[geoip][longitude]}" ]
  add_field => [ "[geoip][location]", "%{[geoip][latitude]}"  ]
}

解答

https://discuss.elastic.co/t/geoip-location-not-getting-mapped-to-a-geo-point-type/78625

问题是我不知道索引映射是如何工作的。此默认映射应用于与名称“logstash-*”匹配的索引,而我的索引名称与该名称不匹配。

将我的索引名称更改为 logstash-myindex 有效。

# elasticsearch
Logo
Elastic中国社区

欢迎大家访问Elastic 中国社区。由Elastic 资深布道师,Elastic 认证工程师,认证分析师,认证可观测性工程师运营管理。

更多推荐

修复网站搜索引擎的 5 个步骤

您网站上的搜索功能很糟糕。 是的,在那里,我说过。我这么说并没有冒太大风险,因为我们入职的大多数客户都带着一个共同的需求来找我们:改善他们的搜索体验。糟糕的网站搜索通常是由于没有投入足够的时间、精力和金钱来围绕您的网站内容和搜索制定良好的策略。 今天,我将与您分享改造和改进网站搜索引擎的五个步骤。 让我们开始吧。 今天谈论搜索,它真的成为最终用户数字体验的关键部分,你不同意吗?随着大量内容的发布,

avatar Elastic中国社区

ElasticSearch:从零到英雄的 12 个命令

开始使用 ElasticSearch 相对容易。但是随着我们的用例变得更加具体,我们发现缺少文档。这个引导式备忘单将执行 12 个命令:从设置 ES 索引到进行高级 ES 查询以支持高级(但常见)用例。 12 个命令按顺序执行。我将解释它们中的每一个,但自己尝试仍然是最好的。 这篇文章是关于 ElasticSearch 的更广泛系列的一部分,该系列将在未来几周内发布: 开始使用 ES 所需的引导式

avatar Elastic中国社区

Elasticsearch 多范围错误

问题:Elasticsearch 多范围错误 我对 Elasticsearch 有疑问 以下 json 值在我的本地服务器中有效,但在远程服务器中无效。 错误:查询不支持多个字段,找到 [date] 和 [price] post.json { "query": { "bool": { "must": [ { "query_string": { "query": "product:DESKTOP"

avatar Elastic中国社区