<div dir="ltr">ES probably has mapped extra.status to an object and in the given case, extra.status is text. Please see the existing mappings for extra_status.<br></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jan 3, 2018 at 1:44 AM, <a href="mailto:kaplan@cert.at">kaplan@cert.at</a> <span dir="ltr"><<a href="mailto:kaplan@cert.at" target="_blank">kaplan@cert.at</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Could it be that ES does not have a definition for extra.status (which gets translated to extra_status)?<br>
<div><div class="h5"><br>
<br>
> On 02 Jan 2018, at 20:52, Tomislav Protega <<a href="mailto:tomislav.protega@cert.hr">tomislav.protega@cert.hr</a>> wrote:<br>
><br>
> Hi,<br>
><br>
> recently I came up into elasticsearch parsing exception.<br>
> Dump is attached below.<br>
><br>
> It only happens when it processes data from Blueliv Crimeserver and<br>
> Shadowserver-Open-XDMCP collectors.<br>
><br>
> Not so far ago my elasticsearch output bot didn't throw that exception.<br>
><br>
> Currently I'm using intelmq 1.0.2 and intelmq-manager 0.3.1, all<br>
> installed from .deb package and python client elasticsearch 6.0.0.<br>
><br>
> Anyone experienced the same?<br>
><br>
> Thanks for the efforts.<br>
><br>
> Regards,<br>
><br>
> --<br>
> Tomislav<br>
</div></div>> <elasticsearch_exception.txt>-<wbr>-<br>
> Listen-Einstellungen:<br>
> <a href="https://lists.cert.at/cgi-bin/mailman/listinfo/intelmq-users" rel="noreferrer" target="_blank">https://lists.cert.at/cgi-bin/<wbr>mailman/listinfo/intelmq-users</a><br>
<br>
<br>
--<br>
// L. Aaron Kaplan <<a href="mailto:kaplan@cert.at">kaplan@cert.at</a>> - T: <a href="tel:%2B43%201%205056416%2078" value="+431505641678">+43 1 5056416 78</a><br>
// CERT Austria - <a href="https://www.cert.at/" rel="noreferrer" target="_blank">https://www.cert.at/</a><br>
// Eine Initiative der <a href="http://nic.at" rel="noreferrer" target="_blank">nic.at</a> GmbH - <a href="http://www.nic.at/" rel="noreferrer" target="_blank">http://www.nic.at/</a><br>
// Firmenbuchnummer 172568b, LG Salzburg<br>
<br>
<br>
<br>
<br>
<br>
<br>
</blockquote></div><br></div>