Cuando se usan Logstash y Elasticsearch juntos, los campos con.raw se agregan para los campos analizados, de modo que cuando se consulta Elasticsearch con herramientas como Kibana, es posible usar el valor del campo tal como está sin división por palabra y lo que no.

Construí una nueva instalación de la pila ELK con las últimas y mejores versiones de todo, y noté mi.raw los campos ya no se crean como en versiones anteriores de la pila. Hay una gran cantidad degente publicando soluciones de creación de plantillas en Elasticsearch, pero no he podido encontrar mucha información sobrepor qué Esto arregla las cosas. En un esfuerzo por comprender mejor el problema más amplio, hago esta pregunta específica:

¿De dónde vienen los campos .raw?

Supuse que Logstash estaba poblando Elasticsearch con cadenas analizadas y cadenas sin procesar cuando insertaba documentos, pero teniendo en cuenta el hecho de que la solución se encuentra en las plantillas de Elasticsearch, me pregunto si mi suposición es correcta o no.