【发布时间】:2021-01-28 11:16:13
【问题描述】:
我有两个索引,一个是客户数据,另一个是 netflow。
我想在进入netflow索引时匹配数据并将其与其他索引匹配,如果有匹配我想改变数据并添加客户ID。
我尝试使用logstash,但没有任何效果:|
有什么想法吗? 谢谢指教
【问题讨论】:
标签: elasticsearch indexing logstash match
【发布时间】:2021-01-28 11:16:13
【问题描述】:
Logstash 看起来是最好的策略。
您可以使用 logstash input 来读取您的 netflow 索引(或使用 logstash 直接摄取您的 netflow)
然后在弹性搜索过滤器中,您将查询您的客户索引,找到好的客户文档,并将数据添加到您的 netflow 事件中。
在弹性搜索输出中,您更新(或摄取)增强的 netflow 文档。
当丰富的处理器不是好的策略时,我使用此策略进行数据修复和数据增强。
【讨论】:
-
我尝试使用弹性搜索过滤器,但出现此错误 [WARN] 2020-10-02 19:23:09.536 [[main]>worker2] elasticsearch - 无法查询 elasticsearch 上一个事件 { :index=>"logstash-*", :error=>"Unexpected character ('%' (code 37)): 期望一个有效值(数字、字符串、数组、对象、'true'、'false' 或 'null ')\n 如果我将数据导出为 json,我可以匹配任何内容吗?
-
能否请您添加您的弹性搜索过滤器配置。该消息与您使用的查询有关