这个问题在3个月前被问到。其中一个答案对我有帮助,但没有解决evey问题。
我是ELK的新手,我有一个基于另一个字段构建索引的问题。
Alain Collins解决方案(参见link)非常好:我可以根据需要格式化索引,但send_to字段出现在输出中,并且无法删除该字段。 send_to充当索引中使用的临时变量。有没有办法不输出send_to字段?
答案 0 :(得分:1)
当然 - 使用名为metadata的相对较新的功能。
将值放在[@metadata] [send_to]之类的字段中,然后可以在输出节中引用该字段。元数据字段不会发送到elasticsearch,因此他们不会污染"污染"你的文件。