console查询 Easysearch中索引数据异常，返回500错误

# console查询 [Easysearch] 默认使用含`highlight`的查询语句返回500错误（console版本1.29.0）

## 问题描述
使用console查询Easysearch日志索引时，包含`highlight`字段的查询语句返回500错误。移除`highlight`配置后查询成功。

### 错误截图
![错误截图](https://github.com/user-attachments/assets/26d600df-9a78-4b95-ac35-0b5e7b46811b)

### 报错请求详情
| 字段         | 值                                                                 |
|--------------|--------------------------------------------------------------------|
| 接口地址     | http://14.103.163.96:10107/elasticsearch/infini_default_system_cluster/search/ese?timeout=60s |
| 响应状态码   | 500 Internal Server Error                                          |
| 触发字段     | `highlight`配置（详见请求体）                                      |

#### 请求体（详版+简化版）
```json
{
	"index": "filebeat-*",
	"body": {
		"query": {
			"bool": {
				"must": [],
				"filter": [{
					"match_all": {}
				}, {
					"range": {
						"@timestamp": {
							"gte": "2025-03-19T16:00:00.000Z",
							"lte": "2025-03-20T15:59:59.999Z"
						}
					}
				}],
				"should": [],
				"must_not": []
			}
		},
		"from": 0,
		"size": 20,
		"highlight": {
			"pre_tags": ["@highlighted-field@"],
			"post_tags": ["@/highlighted-field@"],
			"fields": {
				"*": {}
			}
		},
		"sort": [{
			"@timestamp": {
				"order": "desc"
			}
		}],
		"aggs": {
			"counts": {
				"date_histogram": {
					"fixed_interval": "10m",
					"field": "@timestamp",
					"min_doc_count": 1,
					"time_zone": "Asia/Shanghai"
				}
			}
		}
	}
}
```
```json
{
  "index": "filebeat-*",
  "body": {
    "query": { /* 省略query配置 */ },
    "highlight": { // 问题根源字段
      "pre_tags": ["@highlighted-field@"],
      "post_tags": ["@/highlighted-field@"],
      "fields": { "*": {} }
    },
    /* 其他配置：from/size/sort/aggs */
  }
}
```


## 环境信息
| 组件               | 版本/配置                                                                 |
|--------------------|--------------------------------------------------------------------------|
| 操作系统           | CentOS Linux 7.6 x86_64                                                |
| Easysearch         | easysearch-1.11.0-1992-linux-amd64-bundle                              |
| console            | console-1.29.0-1992-linux-amd64                                        |
| filebeat           | docker.elastic.co/beats/filebeat:7.10.2（容器部署）                    |
| 兼容性配置         | `elasticsearch.api_compatibility: true`<br>`elasticsearch.api_compatibility_version: "7.10.2"` |
| 索引格式           | filebeat-7.10.2-YYYY.MM.dd（示例：filebeat-7.10.2-2025.03.20）        |

### 索引状态
- 索引创建：filebeat写入es自动创建索引且数据写入成功（截图：[索引状态](https://github.com/user-attachments/assets/5d65eb21-05a4-43e5-9b7f-e4098f167f8f)）
- 索引Mapping文件：[filebeat-7.10.2-log-mapping.txt](https://github.com/user-attachments/files/19360101/filebeat-7.10.2-log-mapping.txt)


## 复现步骤
1. 执行含`highlight`的查询（请求体见上文）
2. 观察响应：500错误
3. 移除`highlight`字段，重新执行
4. 观察响应：200成功

### 成功/失败对比
| 场景               | 响应状态 | 是否包含`highlight` |
|--------------------|----------|---------------------|
| 含`highlight`查询   | 500      | 是                  |
| 不含`highlight`查询 | 200      | 否                  |


## 配置详情
### filebeat主配置（`filebeat.yml`）
```yaml
filebeat.config:
  inputs:
    path: ${path.config}/inputs.d/*.yml
    reload.enabled: true
output.elasticsearch:
  hosts: ["easysearch地址"]
  index: "filebeat-%{[agent.version]}-%{+yyyy.MM.dd}"  # 索引格式
  # 认证配置（已脱敏）
  username: "elastic"
  password: "xxxxx"
setup.template.name: "filebeat"
setup.template.pattern: "filebeat-*"
```

### 日志采集配置（`inputs.d/log.yml`）
```yaml
- type: log
  paths:
    - /boss/softlog/dubbo/auth/auth01-operation-face-base/logs/*.log
  multiline:
    pattern: '^\d{4}\-\d{2}\-\d{2}\s'
    negate: true
    match: after
  fields:
    server: auth
    app: auth01-operation-face-base
    fileType: server
```


## 问题分析
1. **兼容性验证**：Easysearch已配置Elasticsearch 7.10.2兼容模式，但`highlight`功能可能存在实现差异  
2. **字段合法性**：
   - 通配符字段`fields: { "*": {} }`是否符合Easysearch语法？
   - 标签格式`pre_tags/post_tags`是否支持自定义符号（`@`开头）？
3. **索引特性**：
   - filebeat索引使用动态mapping，是否存在不支持高亮的字段类型？
   - 检查Mapping中是否包含`index: true`的文本字段（高亮依赖`index`属性）

## 建议排查方向
1. 验证Easysearch对`highlight`功能的兼容性（对比Elasticsearch 7.10.2文档）  
2. 检查`fields: { "*": {} }`是否支持，尝试指定具体字段（如`message`）  
3. 测试简化版高亮配置：
   ```json
   "highlight": {
     "fields": { "message": {} }
   }
   ```
4. 查看Easysearch集群日志，定位具体错误原因（如字段类型不支持、语法解析错误）

期待官方团队协助定位`highlight`功能的兼容性问题，或提供替代的高亮查询方案。


Provide feedback

Saved searches

Use saved searches to filter your results more quickly

console查询 Easysearch中索引数据异常，返回500错误 #180

console查询 [Easysearch] 默认使用含`highlight`的查询语句返回500错误（console版本1.29.0）

问题描述

错误截图

报错请求详情

请求体（详版+简化版）

环境信息

索引状态

复现步骤

成功/失败对比

配置详情

filebeat主配置（`filebeat.yml`）

日志采集配置（`inputs.d/log.yml`）

问题分析

建议排查方向

Metadata

Assignees

Labels

Type

Fields

Projects

Milestone

Relationships

Development

字段	值
接口地址	http://14.103.163.96:10107/elasticsearch/infini_default_system_cluster/search/ese?timeout=60s
响应状态码	500 Internal Server Error
触发字段	`highlight`配置（详见请求体）

组件	版本/配置
操作系统	CentOS Linux 7.6 x86_64
Easysearch	easysearch-1.11.0-1992-linux-amd64-bundle
console	console-1.29.0-1992-linux-amd64
filebeat	docker.elastic.co/beats/filebeat:7.10.2（容器部署）
兼容性配置	`elasticsearch.api_compatibility: true` `elasticsearch.api_compatibility_version: "7.10.2"`
索引格式	filebeat-7.10.2-YYYY.MM.dd（示例：filebeat-7.10.2-2025.03.20）

console查询 Easysearch中索引数据异常，返回500错误 #180

Description

console查询 [Easysearch] 默认使用含highlight的查询语句返回500错误（console版本1.29.0）

问题描述

错误截图

报错请求详情

请求体（详版+简化版）

环境信息

索引状态

复现步骤

成功/失败对比

配置详情

filebeat主配置（filebeat.yml）

日志采集配置（inputs.d/log.yml）

问题分析

建议排查方向

Metadata

Metadata

Assignees

Labels

Type

Fields

Projects

Milestone

Relationships

Development

Issue actions

console查询 [Easysearch] 默认使用含`highlight`的查询语句返回500错误（console版本1.29.0）

filebeat主配置（`filebeat.yml`）

日志采集配置（`inputs.d/log.yml`）