标签: filter elasticsearch logstash grok
我的主机名类似于“companyname-instancename”。
当日志被发送到logstash然后存储在elasticsearch中时,它们似乎会分散在“ - ”处。
如何在logstash中阻止此操作?我是否必须更改主机字段?
答案 0 :(得分:0)
您需要将字段设置为not_analyzed以防止这种情况发生。由于每个人都遇到了这个"问题",所以logstash会创建一个" .raw"您的字段版本,例如myField.raw。