output.elasticsearch:
 hosts: [“domain:443”]
 protocol: https
 path: /elasticsearch
 username: “elastic”
 password: "password"

Это metricbeats, которые не работают.

output.elasticsearch:
 hosts: [elasticsearch:9200]
 protocol: http
 path: /
 username: “elastic”
 password: "password"

Это metricbeats, которые напрямую в контейнер без Nginx стучаться и работают.

кажется дошло. поправь path на /elasticsearch/ , иначе у тебя пинг порта не попадает под паттерн location

это раз. а потом будем разбираться, что там с именованием. если есть возможность - пусти логирование nginx в дебаге

Таже самая ошибка, если добавляю слеш в конец.

А может кто-то подсказать. Если передаются много фалов посредством файлбита, также ранее, когда передавались пара разных файлов на каждый был настроен мультилайн (дабы объединять строчки).
Сейчас файлы передаются по маске, так как их много и для каждого описать мультилайн не предоставляется возможным.
Вопрос. Можно ли написать какой-то единый мультилайн, который будет срабатывать на разные виды совпадений?

        location /elasticsearch/ {
            proxy_http_version 1.1;
            proxy_read_timeout 90;

            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_set_header Upgrade $http_upgrade;

            rewrite ^/elasticsearch/(.*)$ /$1 break;
            proxy_pass http://elasticsearch:9200;
        }

а пробовал один proxy_pass оставить?

Да, там потом ругается, что index elasticsearch не находит.

всем добрый день.
столкнулся с старой версией елки, которая почему-то возвращает в ответе на запрос не только данные агрегации, но и документы целиком

кто-нибудь может подсказать, я могу какой-то параметр передать, чтобы данные возвращались как в текущих версиях, только съагрегированными?

хм... "size":0  ?

спасибо

аж стыдно

похоже, я совсем оболванился

делаю агрегацию по terms, затем несколько match_phrase внутри query.bool.must

я предполагаю, что если я так делаю - мне вернутся только поля которые я указал в агрегации их тех документов, что соответствуют match_phrase внутри query.bool.must

но результаты иные

ЧЯДНТ?

GET fuck-*/_search
{
 "aggs": {
   "fuuu": {
     "terms": {
       "field": "http_referer.keyword",
       "size": 100
     }
   }
 },
 "size": 0,
 "query": {
   "bool": {
     "must": [
       {
         "range": {
           "@timestamp": {
             "gte": "now-8h",
             "lte": "now"
           }
         }
       },
       {
         "match_phrase": {
           "domain": "fuck.com"
         }
       },
       {
         "bool": {
           "should": [
             {
               "match_phrase": {
                 "http_referer": "100500"
               }
             },
             {
               "match_phrase": {
                 "http_referer": "200500"
               }
             }              
           ],
           "minimum_should_match": 1
         }
       }
     ]
   }
 }
}

есть доки в которых есть запрошенные значения полей

но вот почему он не возвращает ничего?

всем привет, подскажите плиз, я собираю данные из редиса логстэшом, там прилетает json, можно ли одно из полей исключить из мапинга, чтобы он не раскладывал это поле и считал что там текст, там вложенность большая и иногда данные различаются, в одном поле может прилететь как обьект, так и значение числовое

пробовал так сделать, но поле контекст раскладывает дальше и тогда необходимо мапинг по каждому вложенному полю делать, а мне хотелось бы уже первый уровень не раскладывать

Скиньте пожалуйста конфиг файлбита из линукса отправка всех логов