Events 日志存储：在筛选器中创建新事件

当过滤logstash中的事件（20+属性）时，我想创建一个新的事件，该事件将包含来自原始事件的一个参数，并将其存储到其他ElastiSearch索引中

我知道这是可能的使用

克隆

过滤器插件。但是我不想手动删除原始事件中的所有属性，除了我需要的属性

我还可以克隆那个事件（我很抱歉，它会将新事件存储在单独的elasticsearch索引中），但这会复制不需要的属性

---

是否有用于此目的的过滤器插件？还是隐藏的特征？或者，

clone

filter插件处理从克隆邮件中删除所有属性的操作？

ElastAlert是一个简单的框架，用于在Elasticsearch中对数据中的异常、峰值或其他感兴趣的模式发出警报

---

ElastAlert是一个简单的框架，用于在Elasticsearch中对异常、峰值或其他感兴趣的数据模式发出警报

---

你看过prune{}吗？你看过prune{}吗？从给定链接中总结出的操作方法会对你有所帮助。只链接（或几乎只链接）的答案是不赞成的；请参阅。将从给定链接中总结的操作方法中获益。只链接（或几乎只链接）的答案是不赞成的；看见