我很难尝试从弹性示例中获取一些额外的数据到logstash管道。elasticsearch过滤器不会给予任何异常错误,但原始事件字段中没有填充数据。
代码看起来像:
input {
elasticsearch {
...data connection details to some elastic_instance_A
}
}
filter {
mutate {
add_field => { "field_i_need_to_fill" => "placeholder_data" }
}
elasticsearch {
tag_on_failure => '_noctlquerythreshold_exception'
index => "%{kibana.alert.rule.indices}"
query => "%{ctlthresholdquery}"
fields => {
"_id" => "field_i_need_to_fill"
}
}
}
1条答案
按热度按时间iklwldmw1#
对于元数据字段,如文档ID,您应该使用
docinfo_fields
而不是fields
。