我的弹性搜索索引目前有一个输入:
index => “日志 - %{+} YYYY.MM.DD”
我有一个名为logged_timestamp的字段,格式为“05/05/2015:14:25:56 GMT”,它似乎在ES中存储为3个部分 [ “2015年5月5日”, “14点25分56秒”, “格林威治标准时间” ],
logstash做到了这一点:
%{DATE_US:logged_timestamp}:%{TIME:logged_timestamp}%{DATA:logged_timestamp}
我想要做的是使用此捕获字段中的YYYY MM和dd而不是当前的字段作为我的索引。
但我对如何做到这一点有点困惑,是否有可能进行内联?或者我是否需要首先更改我在输入部分捕获该字段的方式 - 我宁愿避免这种情况?日期过滤器?