스플렁크와 엘라스틱의 인덱싱

경로 정보가 없는 윈도우 auditlog. 검색 결과에 하이라이트 표시가 되어 있다. 스플렁크는 empty값도 인덱싱을 하나?

엘라스틱은?

검색 실패. 엘라스틱은 empty값을 인덱싱하지 않기 때문.

empty값을 검색하려면 인덱싱 과정 없이 데이터를 통째로 저장하는 keyword 필드를 검색해야 한다.

참고로 스플렁크의 정규표현식 검색은 이렇게.

다음은 같은 정규표현식을 이용한 엘라스틱 검색 결과. 정규표현식을 사용하려면 Lucene 구문을 사용해야 하는데 Lucene의 정규표현식 지원이 완벽하지 않은 모양.

모로 가도 서울만 가면 되지 뭐(..)

관련 글

• Elasticsearch의 특수문자 검색
• Elasticsearch의 정규표현식 검색
• ECS의 text, keyword 필드
• null과 empty