我有logstash将文档推送到弹性搜索集群。
我使用logstash将模板应用于索引:
elasticsearch {
hosts => 1.1.1.1.,2.2.2.2.
index => "logstash-myindex-%{+YYYY-MM-dd}"
template_name => "mytemplate"
template => "/etc/logstash/index_templates/mytemplate.json"
template_overwrite => true
}
有没有办法让我只能将模板中定义的字段添加到文档中?因为有时文档还有其他一些我不关心的字段,我不想手动过滤掉每一个字段。我希望能够说明索引模板中的字段是否不添加。
编辑: 我在索引模板中执行了此操作,但模板中未指定的字段仍会添加到docs:
{
"template": "logstash-myindex*",
"order": 10,
"mappings": {
"_default_": {
"dynamic": "scrict",
"_all": {
"enabled": false
},
"properties": {
"@timestamp": {
"type": "date",
"include_in_all": false
},
"@version": {
"type": "keyword",
"include_in_all": false
},
"bytesReceived": {
"type": "text",
"norms": false,
"fields": {
"keyword": {
"type": "keyword"
}
}
},
.... etc
答案 0 :(得分:1)
我不熟悉logstash - 但我认为这就像在ElasticSearch中创建索引一样。
在ElasticSearch中,您可以通过添加以下内容来禁用dynamic creation of fields
"dynamic": false
到映射。
这看起来像这样:
{
"mappings": {
"_default_": {
"dynamic": false
}
}
}