我有两个索引,一个是客户数据,另一个是netflow。我希望在输入netflow索引时匹配数据,并将其与其他索引匹配,如果存在匹配,我希望修改数据并添加客户id。我试过使用logstash,但没什么效果:|有什么想法吗?谢谢你的建议
xzv2uavs1#
logstash看起来是最好的策略。您可以使用logstash输入来读取netflow索引(或者使用logstash直接接收netflow)然后,在elasticsearch过滤器中,您将查询您的客户索引,找到好的客户文档,并在netflow事件中添加数据。在elasticsearch输出中,更新(或摄取)增强的netflow文档。当enrich处理器不是一个好的策略时,我使用这个策略来修复数据和增强数据。
1条答案
按热度按时间xzv2uavs1#
logstash看起来是最好的策略。
您可以使用logstash输入来读取netflow索引(或者使用logstash直接接收netflow)
然后,在elasticsearch过滤器中,您将查询您的客户索引,找到好的客户文档,并在netflow事件中添加数据。
在elasticsearch输出中,更新(或摄取)增强的netflow文档。
当enrich处理器不是一个好的策略时,我使用这个策略来修复数据和增强数据。