elasticsearch 连接来自2个索引的字段logstash elasticsearch插件,elasticsearch,logstash,elastic-stack,logstash-configuration,elasticsearch,Logstash,Elastic Stack,Logstash Configuration" /> elasticsearch 连接来自2个索引的字段logstash elasticsearch插件,elasticsearch,logstash,elastic-stack,logstash-configuration,elasticsearch,Logstash,Elastic Stack,Logstash Configuration" />
Fatal编程技术网
  • elasticsearch/
  • elasticsearch 连接来自2个索引的字段logstash elasticsearch插件

elasticsearch 连接来自2个索引的字段logstash elasticsearch插件

logstash

elasticsearch 连接来自2个索引的字段logstash elasticsearch插件,elasticsearch,logstash,elastic-stack,logstash-configuration,elasticsearch,Logstash,Elastic Stack,Logstash Configuration,所以尝试将一个从索引到索引表的转换连接起来。我将此视为参考:如何将多个事件中的字段连接到单个事件中?而且它似乎应该通过使用elasticsearch过滤器插件来工作。 变换索引名称:变换索引 转换索引包含以下字段:extract.keyword、service.keyword.cardinality、timestamp\u tries.max、userID.keyword 以下是我的新索引配置: input { beats { port =>5053

所以尝试将一个从索引到索引表的转换连接起来。我将此视为参考:如何将多个事件中的字段连接到单个事件中?而且它似乎应该通过使用elasticsearch过滤器插件来工作。 变换索引名称:变换索引 转换索引包含以下字段:extract.keyword、service.keyword.cardinality、timestamp\u tries.max、userID.keyword 以下是我的新索引配置:

input
{
    beats
    {
        port =>5053
    }
}

filter
{
         csv
         {
            skip_header => true
            columns => ["Name","Email","date"]
            separator => ","
        }
        grok {
        match => {"[log][file][path]" => "%{POSINT:extract}"}

        elasticsearch {
        hosts => ["127.0.0.1"]
        index => "transform_authentication"
        query => "extract:%{extract.keyword} AND email:%{userID.keyword}"
        fields => {
            "timestamp_tries.max" => "timestamp_tries.max"
            "service.keyword.cardinality" => "service.keyword.cardinality"
        }
    }

}
output {
        stdout{codec=>rubydebug}
}
新索引(extract)中的字段应与transform\u ndex(extract.keyword)相同,新索引(email)应与transform\u ndex(userID.keyword)相同。 在它通过查询之后,我想将字段从transform\u ndex添加到new\u索引(timestamp\u trys.max、service.keyword.cardinality)

它不断返回错误

我不知道我是错过了这个概念还是错过了conf文件。请告诉我怎么做。多谢各位