Elasticsearch无法直接索引XML，必须在客户端（如Logstash、Python）解析为JSON后再写入；Logstash的xml filter是生产首选，ingest pipeline仅适用于极简无属性XML。

XML内容无法被Elasticsearch直接索引，必须用ingest pipeline解析

Elasticsearch原生不支持XML解析，xml processor 并不存在。你不能把XML字符串直接塞进_source就指望它自动展开成字段——ES会把它当纯文本存，后续查不到item.title这种嵌套路径。真正可行的路径是：先用dissect或grok做轻量提取，或更稳妥地在客户端（如Logstash、Python脚本）完成XML解析后，再以JSON格式发送到ES。

Logstash是最常用且可靠的XML解析入口

Logstash自带xml filter，能将XML结构转为嵌套JSON，再通过elasticsearch output写入。这是生产环境最主流的做法，比硬啃ingest pipeline更可控。

• xml filter 的 source 必须指向含完整XML字符串的字段（如 message），不是文件路径
• 用 target 指定解析结果存放的顶层字段名，比如 target => "parsed"，之后就能访问 parsed.root.item.title
• 注意命名冲突：xml filter 默认会把属性转为带@前缀的键（如 @id），可用 attribute_prefix 改成空字符串或下划线
• 如果XML有命名空间，需先用 mutate + gsub 清理掉 xmlns 声明，否则解析会失败

filter {
  xml {
    source => "message"
    target => "parsed"
    store_xml => false
    xpath => ["/rss/channel/item", "item"]
  }
  mutate {
    remove_field => ["message"]
  }
}

ingest pipeline仅适合极简XML，且必须预处理为单层结构

如果你坚持用ingest pipeline（例如数据已进入ES，想用update_by_query批量重解析），只能靠dissect或grok硬匹配固定格式的XML片段。它不理解嵌套、不处理闭合标签、无法应对变长子节点。

• dissect 适用于格式严格、无换行、无属性的XML，比如 Alice30
• grok 可捕获多组值，但正则写起来易错，且对嵌套层级完全无感
• 一旦XML中出现换行、缩进、属性（如 ）、CDATA段，ingest pipeline基本失效
• 别尝试用json processor反向解析——XML不是JSON，强转必丢数据

客户端解析才是稳定解法，尤其对复杂XML

在应用层（Python/Java/Node.js）用标准XML库（如Python的xml.etree.ElementTree或lxml）解析，再构造JSON body调用ES API，控制力最强。

• 用 findall() 或 XPath 精确提取所需节点，跳过无关结构
• 手动处理属性、文本内容、子元素关系，避免自动映射歧义
• 对重复子节点（如多个 ），显式转为数组，而不是依赖ES自动类型推断
• 注意字符编码：确保XML原始字节流正确解码为UTF-8，否则入库后中文变???

import xml.etree.ElementTree as ET
root = ET.fromstring(xml_data)
doc = {
  "title": root.find("channel/title").text,
  "items": [{"title": i.find("title").text, "link": i.find("link").text} 
            for i in root.findall("channel/item")]
}
es.index(index="rss", document=doc)

XML结构越深、越不规范，越容易在ingest pipeline里卡住；真正要落地，得接受“解析不在ES里做”这个事实。

https://www.php.cn/faq/2004802.html