我使用的是Logstash版本2.4.0。
我的索引listOfIps的类型为ip,其中的单个字段为ip。
我在logstash配置中使用以下配置部分来检查我的索引中是否存在ip并将其复制到新字段。
elasticsearch {
hosts => ["1.2.3.4:9200"]
query => "ip:0.1.2.7"
fields => {"ip" => "ip_found_on_es"}
}
但它不起作用。 Elasticsearch上存在ip 0.1.2.7,但仍然无法获得预期的结果。
我在这里做错了什么?
答案 0 :(得分:1)
elasticsearch {
hosts => ["localhost:9200"]
user => elastic #use if x-pack is enabled
password => elastic #use if x-pack is enabled
index => "listOfIps"
query => "ip:0.1.2.7"
enable_sort => false
fields => {"ip" => "ip_found_on_es"}
}
尝试提供特定索引,因为如果您没有指定任何logstash将查询所有索引,这将减慢您的工作。
一个原因可能是您的索引没有为每个索引的文档附加@timestamp,而logstash尝试根据@timestamp字段对结果进行排序。 您可以使用" enable_sort =>禁用排序假"
谢谢,请告诉我它是否有效。