Создание индекса на основе другого поля в logstash

Question

этот вопрос задан 3 месяца назад. Один из ответов помог мне, но не решил проблемы evey.

Я новичок в ELK, и у меня есть проблема для создания индекса, основанного на другом поле.

Решение Alain Collins (см. link) довольно хорошее: я мог форматировать индекс так, как я хотел, но на выходе появляется поле send_to, и поле не может быть удалено. send_to действует как временная переменная, используемая в индексе. Есть ли способ не выводить поле send_to?

Answer 1

Уверенный - используйте относительно новую функцию под названием metadata.

Поместите это значение в поле, например [@metadata] [send_to], которое затем можно найти в выходной строфе. поля метаданных не отправляются на поиск elasticsearch, поэтому они не будут «загрязнять» ваши документы.