设置 enrich 处理器

首先，将文档添加到一个或多个源索引中。这些文档应包含您最终想要添加到传入数据中的 enrich 数据。

您可以像管理常规 Elasticsearch 索引一样管理源索引，使用文档 和 索引 API。

您还可以设置Beats，例如Filebeat，来自动将文档发送到您的源索引并对其进行索引。请参阅Beats 入门。

将 enrich 数据添加到源索引后，使用创建 enrich 策略 API 或 Kibana 中的索引管理 创建 enrich 策略。

创建 enrich 策略后，您需要使用执行 enrich 策略 API 或 Kibana 中的索引管理 创建enrich 索引。

enrich 索引包含策略的源索引中的文档。enrich 索引始终以.enrich-*开头，是只读的，并且是强制合并的。

准备好源索引、enrich 策略和相关的 enrich 索引后，您可以设置一个摄取管道，其中包含您策略的 enrich 处理器。

定义一个enrich 处理器，并使用创建或更新管道 API将其添加到摄取管道。

定义 enrich 处理器时，您必须至少包含以下内容

您还可以使用max_matches选项设置传入文档可以匹配的 enrich 文档数量。如果设置为默认值1，则数据将作为 JSON 对象添加到传入文档的目标字段中。否则，数据将作为数组添加。

有关完整配置选项列表，请参阅Enrich。

您还可以将其他处理器添加到您的摄取管道。

您现在可以使用摄取管道来丰富和索引文档。

在生产环境中实施管道之前，我们建议先索引一些测试文档，并使用获取 API验证 enrich 数据是否已正确添加。

创建后，您无法更新或索引文档到 enrich 索引。相反，更新您的源索引并执行 enrich 策略。这将从更新的源索引创建新的 enrich 索引。以前的 enrich 索引将通过延迟维护作业删除。默认情况下，这每 15 分钟执行一次。

如果需要，您可以使用摄取管道重新索引 或 更新任何已摄取的文档。

创建后，您无法更新或更改 enrich 策略。相反，您可以

enrich 协调器是一个组件，它管理并执行在每个摄取节点上丰富文档所需的搜索。它将所有管道中所有 enrich 处理器的搜索组合成批量多搜索。

enrich 策略执行器是一个组件，它管理所有 enrich 策略的执行。当执行 enrich 策略时，此组件会创建一个新的 enrich 索引并删除以前的 enrich 索引。enrich 策略执行由选定的主节点管理。这些策略的执行发生在不同的节点上。

enrich 处理器具有用于 enrich 协调器和 enrich 策略执行器的节点设置。

enrich 协调器支持以下节点设置

enrich 策略执行器支持以下节点设置