如何解决连接来自2个索引的字段logstash elasticsearch插件
因此尝试将一个从转换索引连接到索引表。我将其作为参考:如何将多个事件的字段合并为单个事件?似乎应该通过使用Elasticsearch过滤器插件来工作。 转换索引名称:transform_ndex 转换索引包含以下字段:extract.keyword,service.keyword.cardinality,timestamp_tries.max,userID.keyword 这是我的新索引配置:
input
{
beats
{
port =>5053
}
}
filter
{
csv
{
skip_header => true
columns => ["Name","Email","date"]
separator => ","
}
grok {
match => {"[log][file][path]" => "%{POSINT:extract}"}
elasticsearch {
hosts => ["127.0.0.1"]
index => "transform_authentication"
query => "extract:%{extract.keyword} AND email:%{userID.keyword}"
fields => {
"timestamp_tries.max" => "timestamp_tries.max"
"service.keyword.cardinality" => "service.keyword.cardinality"
}
}
}
output {
stdout{codec=>rubydebug}
}
新索引(提取)中的字段应与transform_ndex(extract.keyword)相同,新索引(电子邮件)应与transform_ndex(userID.keyword)相同。 通过查询后,我想将transform_ndex的字段添加到new_index(timestamp_tries.max,service.keyword.cardinality)
它不断返回错误
我不知道我是错过了概念还是错过了conf文件。请告诉我该怎么做。谢谢
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。