我对logstash如何使用相同的document_id更新弹性搜索索引中的现有记录表示怀疑,并且它作为带有数据库的预定作业(ES-LS-DB)执行。 logstash是否删除索引中的所有记录并重新插入全部或仅通过匹配文档ID更新更新的记录? (此文档ID来自db)
答案 0 :(得分:1)
在配置文件中使用过滤器中的replace: 值类型是哈希值 此设置没有默认值。 用新值替换字段。新值可以包含%{foo}字符串,以帮助您从事件的其他部分构建新值。
示例:
filter {
mutate {
replace => { "message" => "%{source_host}: My new message" }
}
}