如果我对Logstash进行任何配置更改。我会看到适用于Elastic Search的变更吗例如如果我更改了grok模式并添加了新字段,我能否在弹性搜索中看到对已编制索引的日志产生的影响。
如果不是,我该怎么办?我应该重新索引已经重新建立索引的整个旧日志以查看新字段吗?
如果添加任何新字段,它将反映在“映射类型”中,而新字段将存储在该索引中。每当文档包含新字段时,这些字段最终都会出现在索引的映射中。不必担心数据量少,但是随着映射的增长,可能会成为问题。但是,您应该非常小心,索引中的字段过多会导致映射爆炸,从而导致大量内存错误。
您在Logstash管道中进行的任何更改将仅应用于摄取的日志之后更改,已经在elasticsearch中的日志不会更改。
如果要向elasticsearch中已存在的文档添加新字段,则需要通过logstash重新索引它们。