elasticsearch - Elastic Beats - 更改 Beats 文档中默认字段的字段类型?
问题描述
我对 Elastic Stack 还很陌生,我仍然没有从我正在阅读的关于这个主题的内容中看到整个画面。
例如,假设我正在使用最新版本的 Filebeat 或 Metricbeat,并将该数据推送到 Logstash 输出(然后将其配置为推送到 ES)。我希望这些节拍之一的“开箱即用”字段更改其字段类型(例如:将 beat.hostname 从当前默认的“文本”类型更改为“关键字”),最佳位置/做法是什么配置这个?这种变化是我希望在运行相同 Beat 的多个主机之间保持一致的东西。
解决方案
我不会更改任何现有字段,因为 Kibana 在预期字段 + 数据类型上构建了许多可视化、仪表板、SIEM……。
如果需要,请改为扩展(添加,不要更改)默认映射。在默认索引模板之上,您可以添加自己的,它们将被合并。添加更多字段将需要更多磁盘空间(加载时可能还需要内存),但它应该是可管理的并且避免了其他方法的许多缺点。
推荐阅读
- ios - 从循环播放列表中播放视频播放列表和单个视频剪辑,AVQueuePlayer iOS Swift
- java - 如何获取“主机”对象java
- json - 如何使用 JOLT 将整个 JSON 对象作为值映射到新的 JSON 键中?
- java - 如何从包含excel xls文件中的公式的单元格中获取单元格值
- amazon-web-services - Creating TWO way trusts between two AWS managed Active Directory
- android - 使用 gradle 模块作为具有特定风格的依赖项
- php - 图像移动到文件夹但不保存数据库中的行
- css - 在本机反应中将图像放在视图上
- python - 如何防止pytest在测试期间打印局部变量
- go - 如何使用 go 获取切片中的单个项目计数?