我想使用logstash嵌套文档,但我需要运行查询来查找目标文档的ID。例如,我有带时间戳的事件,我想将它们嵌套在指定日期范围的目标文档中。
有一个弹性搜索过滤器插件,但它只能用于搜索过去的事件,而不能用于搜索目标索引。
例如:
event {
"datetime": "2016-01-01",
"event": "something"
}
target1 {
"start": "2015-01-01",
"end": "2015-12-31"
}
target2 {
"start": "2016-01-01",
"end": "2016-12-31"
}
我想使用logstash将事件嵌套在target2中。我不想对这些数据使用父子关系。
谢谢。