我已经设置了ELK堆栈5.3。现在kibana在“可用字段”下搞砸了很多值。如何删除这些不需要的字段?
另外,我需要删除一些内置字段,如“beat.hostname”,“beat.name”,“beat.version”等。我怎么能这样做?
答案 0 :(得分:0)
“可用字段”列仅表示可见结果集中的所有字段。 (默认情况下前500个结果。)如果你想要删除一些字段,你必须调整你的Logstash / Ingest-Node设置,完全摆脱这个字段。
至于删除字段,您可以使用任何过滤器删除它们。
示例:
mutate {
remove_field => ["%{beat}"] # delete the entire Beat field
}
mutate {
remove_field => ["%{[beat][hostname]}"] # delete a nested field
}