我在logstash中解析两个不同的日志文件并将其存储在不同的索引中。
<PostalSender>
<PostalArea>
<CreationDateTime>2015-02-26</CreationDateTime>
<PostalID>90000</PostalID>
</PostalArea>
</PostalSender>
<PostalReceiver>
<PostalArea>
<PostalNo>90000</PostalNo>
</PostalArea>
</PostalReceiver>
我想比较postalid和postalno,如果两个字段都具有相同的值,那么我必须在接收器索引中添加字段creationdatetime并在kibana中显示该字段。 我正在使用下面的过滤器
if[type]=="receiver"{
elasticsearch {
hosts => ["localhost"]
query => "type:sender %{[pp.PostalID]}"
add_field => {"datetime"=>"pp.CreationDate"}
}
}
我没有在我的收件人索引中添加新字段“datetime”。
提前致谢。