设置 enrich 处理器

首先，将文档添加到一个或多个源索引。这些文档应包含您最终要添加到传入数据的 enrich 数据。

您可以使用文档和索引 API 来管理源索引，就像管理常规 Elasticsearch 索引一样。

您还可以设置Beats（例如Filebeat）来自动将文档发送并索引到您的源索引。请参阅Beats 入门。

将 enrich 数据添加到源索引后，请使用创建 enrich 策略 API或Kibana 中的索引管理来创建 enrich 策略。

创建 enrich 策略后，您需要使用执行 enrich 策略 API或Kibana 中的索引管理来执行它，以创建enrich 索引。

enrich 索引包含策略的源索引中的文档。enrich 索引始终以 .enrich-* 开头，是只读的，并且是强制合并的。

在您拥有源索引、enrich 策略和相关的 enrich 索引后，您可以设置一个包含策略的 enrich 处理器的摄取管道。

使用创建或更新管道 API定义enrich 处理器并将其添加到摄取管道。

定义 enrich 处理器时，您必须至少包含以下内容

您还可以使用 max_matches 选项来设置传入文档可以匹配的 enrich 文档的数量。如果设置为默认值 1，则数据将作为 JSON 对象添加到传入文档的目标字段中。否则，数据将作为数组添加。

有关配置选项的完整列表，请参阅Enrich。

您还可以将其他处理器添加到您的摄取管道。

您现在可以使用摄取管道来丰富和索引文档。

在生产环境中实施管道之前，我们建议您先索引一些测试文档，并使用获取 API验证 enrich 数据是否已正确添加。

创建后，您无法更新或索引 enrich 索引中的文档。而是更新您的源索引并再次执行 enrich 策略。这将从您更新的源索引创建一个新的 enrich 索引。之前的 enrich 索引将通过延迟维护作业删除。默认情况下，每 15 分钟执行一次。

如果需要，您可以使用摄取管道重新索引或更新任何已摄取的文档。

创建后，您将无法更新或更改 enrich 策略。您可以

enrich 协调器是一个组件，用于管理和执行在每个摄取节点上丰富文档所需的搜索。它将所有管道中所有 enrich 处理器的搜索组合成批量多重搜索。

enrich 策略执行器是一个组件，用于管理所有 enrich 策略的执行。执行 enrich 策略时，此组件会创建一个新的 enrich 索引并删除之前的 enrich 索引。enrich 策略执行由选定的主节点管理。这些策略的执行发生在不同的节点上。

enrich 处理器具有 enrich 协调器和 enrich 策略执行器的节点设置。

enrich 协调器支持以下节点设置

enrich 策略执行器支持以下节点设置