로그스태시 연동 시 문자형 데이터는 text와 keyword, 두 가지 타입의 필드를 갖는다. text는 검색, keyword는 집계 용도. 이때 기본 필드는 text 타입을 갖는다.
text 타입 필드의 특징은 인덱싱 과정에서 대소문자 구분이 사라진다는 것. 결과적으로 대소문자 구분 없이 검색이 가능해짐.
|
| 'A=B' 인덱싱 결과 |
그런데 beat로 연동하면 keyword 타입이 기본 필드.
ECS(Elastic Common Schema)가 반영되면서 달라진 부분인 듯. keyword 타입 필드는 인덱싱 과정을 거치지 않기 때문에 검색할 때 대소문자를 구분한다. 어쩐지 winlogbeat가 만든 기본 필드에서 검색어 대소문자를 구분하더라(..)
 |
| 로그스태시 연동 |
 |
| beat 연동 |
댓글 없음:
댓글 쓰기