ElastAlert拆分字段

Question

如果过去10分钟内发生错误，我正在使用ElastAlert通知我的消费者。我想发送发生的错误列表。但是，在列表中的项目被分成两个，如果有连字符（“ - ”）出现在的errorCode

这是结果，我想

errorCode: 
error1: 10 
error-place-2: 15 
error-new-place-3: 20 

这是结果我得到

erorrCode: 
error1: 10 
error: 35 
place: 35 
2: 15 
new: 20 
3: 20 

有没有获得理想结果的方法？

更新 - 索引映射的结果添加

{ 
"indexdate":{  
     "mappings":{ 
     "app_log":{ 
      "properties":{ 
     }, 
     "transaction_log":{ 
      "properties":{ 
       "@timestamp":{ 
        "type":"date", 
        "format":"strict_date_optional_time||epoch_millis" 
       }, 
       "other":{ 
       }, 
       "errorCode":{ 
        "type":"string" 
       }, 
       "other":{ 
       }, 
      } 
     } 
     } 
    } 
} 

Answer 1

你需要确保你的errorCode场not_analyzed，因为它似乎并没有这样的情况，因此，为什么你的错误代码被分割。

您可以修改您的映射是这样的：

curl -XPUT localhost:9200/indexdate/_mapping/transaction_log -d '{ 
    "properties": { 
     "errorCode":{ 
     "type":"string", 
     "fields": { 
      "raw": { 
       "type": "string", 
       "index": "not_analyzed" 
      } 
     } 
     } 
    } 
}' 

进行此更改后，需要重新索引，以填充errorCode.raw场数据。

然后，你需要在你的ElastAlert配置使用errorCode.raw而不是errorCode