问题描述
因此尝试将一个从转换索引连接到索引表。我将其作为参考:如何将多个事件的字段合并为单个事件?似乎应该通过使用Elasticsearch过滤器插件来工作。 转换索引名称:transform_ndex 转换索引包含以下字段:extract.keyword,service.keyword.cardinality,timestamp_tries.max,userID.keyword 这是我的新索引配置:
input
{
beats
{
port =>5053
}
}
filter
{
csv
{
skip_header => true
columns => ["Name","Email","date"]
separator => ","
}
grok {
match => {"[log][file][path]" => "%{POSINT:extract}"}
elasticsearch {
hosts => ["127.0.0.1"]
index => "transform_authentication"
query => "extract:%{extract.keyword} AND email:%{userID.keyword}"
fields => {
"timestamp_tries.max" => "timestamp_tries.max"
"service.keyword.cardinality" => "service.keyword.cardinality"
}
}
}
output {
stdout{codec=>rubydebug}
}
字段应与transform_ndex(extract.keyword)相同,新索引(电子邮件)应与transform_ndex(userID.keyword)相同。 通过查询后,我想将transform_ndex的字段添加到new_index(timestamp_tries.max,service.keyword.cardinality)
它不断返回错误
我不知道我是错过了概念还是错过了conf文件。请告诉我该怎么做。谢谢
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)