Filebeat-如何覆盖Elasticsearch字段映射?

时间:2018-08-01 16:18:19

标签: elasticsearch elastic-stack filebeat

我们正在通过filebeat将数据摄取到Elasticsearch并遇到配置问题。
我正在尝试为特定字段指定日期格式(标准@timestamp字段保留索引时间,我们需要实际的事件时间)。到目前为止,我无法这样做-我尝试了单独的json模板文件fields.yml,并在filebeat.yml中内联指定了它。最后一个选项只是一个猜测,我还没有找到此特定配置组合的任何示例。
我在这里想念什么?我确定这应该可行:

filebeat.yml

 #rest of the file
 template:

      # Template name. By default the template name is filebeat.
      #name: "filebeat"

      # Path to template file
      path: "custom-template.json"

和custom-template.json

{
  "mappings": {
    "doc": {
      "properties": {
        "eventTime": {
          "type": "date",
          "format": "YYYY-MM-dd HH:mm:ss.SSSS"
        }
      }
    }
  }
}

但是没有。
我们使用的Filebeat版本是6.2.4和Elasticsearch 6.x

1 个答案:

答案 0 :(得分:1)

我无法使用Filebeat配置。因此,最终在我们的服务中更改了时域格式,并且立即生效。
我发现Filebeat的官方文档缺少完整的示例。可能就是我的问题

实际上是编辑,事实证明您可以指定允许格式的列表in your mapping