При совместном использовании Logstash и Elasticsearch, поля с.raw добавляются для анализируемых полей, поэтому при запросе Elasticsearch с помощью таких инструментов, как Kibana, можно использовать значение поля как есть, без разбиения по словам, а что нет.

Я построил новую установку стека ELK с последними лучшими версиями всего и заметил, что.raw поля больше не создаются, как в старых версиях стека. Есть многолюди публикуют решения по созданию шаблонов на Elasticsearch, но я не смог найти много информации оЗачем это исправляет вещи. Чтобы лучше понять более широкую проблему, я задаю этот конкретный вопрос:

Откуда берутся поля .raw?

Я предполагал, что Logstash заполняет Elasticsearch строками, которые были проанализированы, и строками как сырыми, когда он вставлял документы, но, учитывая тот факт, что исправление лежит в шаблонах Elasticsearch, я задаюсь вопросом, правильно ли мое предположение.