- elasticsearch/
elasticsearch 在Elasticsearch中插入交叉索引以消除重复项
elasticsearch 在Elasticsearch中插入交叉索引以消除重复项
我有一个logstash配置,它在输出块中使用以下内容,试图减少重复
output {
if [type] == "usage" {
elasticsearch {
hosts => ["elastic4:9204"]
index => "usage-%{+YYYY-MM-dd-HH}"
document_id => "%{[@metadata][fingerprint]}"
action => "update"
doc_as_upsert => true
}
}
}
有没有办法使upsert工作交叉索引?这些都是相同类型的文档,它们只会应用于与“用法-*”匹配的每个索引。新索引是一个全新的键空间,无法告诉ES不在两个不同索引中索引具有相同ID的两个文档 但是,您可以通过向管道中添加一个索引来防止这种情况,该管道将在所有索引中查找文档,如果它找到一个索引,则可能会删除该事件 这样做可以(请注意,
usagesusage-*我注意到集群上的负载在安装好之后增加了很多。但到目前为止,它似乎正在发挥作用!是的,因为现在对于通过Logstash的每个事件,都会对您的ES进行查询,以验证该事件是否已经存在。为了减少搜索空间,我添加了一个ruby筛选器以获取昨天的日期。我只担心索引名滚动到第二天时可能出现的重复。但是,在elasticsearch筛选器中,它似乎没有展开字段:
elasticsearch{hosts=>[“fmyelastic04.fm.intel.com:9204”]index=>'监视cama使用情况-“%{[@metadata][beday]}”query=>“\u id:%{[@metadata][fingerprint]}”字段=>{{u id=>“id_found”}filter {
elasticsearch {
hosts => ["elastic4:9204"]
index => "usages"
query => "_id:%{[@metadata][fingerprint]}"
fields => {"_id" => "other_id"}
}
# if the document was found, drop this one
if [other_id] {
drop {}
}
}