在logstash(20多个属性)中过滤事件时,我想创建一个新事件,它将从原始事件中获取一个参数并将其存储到其他ElastiSearch索引中。
我知道使用clone过滤器插件可以实现这一点。但我不想手动删除原始事件中的所有属性,除了我需要的属性。
此外,我可以克隆该事件(我将在单独的弹性搜索索引中存储新事件),但这将复制不需要的属性。
是否有用于此目的的过滤器插件?还是一些隐藏的功能?或者clone过滤器插件可以处理从克隆消息中删除所有属性的问题吗?
答案 0 :(得分:0)
ElastAlert是一个简单的框架,用于警告Elasticsearch中数据的异常,尖峰或其他感兴趣的模式。