我在ElasticSearch中遇到麻烦,我如何将id更改为日志文件中的另一个字段?
在elasticsearch输出中,您可以为要发送的事件设置document_id。这将最终成为elasticsearch中的_id。你可以使用所有类型的参数/字段引用/…可以在logstash配置中找到。像这样:
elasticsearch {
host => yourEsHost
cluster => "yourCluster"
index => "logstash-%{+YYYY.MM.dd}"
document_id => "%{someFieldOfMyEvent}"
}
在本例中,someFieldOfMyEvent最终成为ES中此事件的_id。