Elasticsearch - 針對未分析字段的正則表達式查詢的行爲

Question

針對未分析字段的正則表達式查詢的默認行爲是什麼？另外，處理.raw字段時的答案是否相同？

在我讀過的所有東西之後，我明白以下幾點。 1. RegExp查詢將適用於已分析和未分析的字段。 2.正則表達式查詢應該在整個短語中工作，而不是僅匹配未分析字段中的單個標記。 雖然這是問題。我實際上無法得到這個工作。我已經在多個領域嘗試過了。

我正在使用的設置是股票麋鹿安裝，我傾銷pfsense和snort日誌到它與基本的分析器。我目前在基巴納4.3和ES 2.1

我做了一個查詢來查看其中一個字段的映射，它表明它是not_analyzed，但正則表達式不適用於整個字段。

"description": { 
    "type": "string", 
    "norms": { 
    "enabled": false 
    }, 
    "fields": { 
    "raw": { 
     "type": "string", 
     "index": "not_analyzed", 
     "ignore_above": 256 
    } 
    } 
} 

我在這裏錯過了什麼？

Answer 1

• 如果一個字段是非分析字段只是一個單一的標記。
• 至少在我的工作中，處理.raw字段時也是如此。

• 可以使用常規的腳本：

  匹配=（文件[fields.raw]。價值=〜/ $ {圖案} /）;
  如果（matcher.matches（））{
  matcher.group（matchname）}

可以在PARAMS通過圖案和matchname。

tried it across multiple fields.是什麼意思？如果你的情況更復雜，也許你可以製作一個原生的java插件。

UPDATE

{ 
    "script_fields" : { 
    "regexp_field" : { 
     "script" : "matcher = (doc[fieldname].value =~ /${pattern}/);if(matcher.matches()) {matcher.group(matchname)}", 
     "params" : { 
     "pattern" : "your pattern", 
     "matchname" : "your match", 
     "fieldname" : "fields.raw" 
     } 
    } 
    } 
}