我们正在通过filebeat将数据摄取到Elasticsearch并遇到配置问题。
我正在尝试为特定字段指定日期格式(标准@timestamp字段保留索引时间,我们需要实际的事件时间)。到目前为止,我无法这样做-我尝试了单独的json模板文件fields.yml,并在filebeat.yml中内联指定了它。最后一个选项只是一个猜测,我还没有找到此特定配置组合的任何示例。
我在这里想念什么?我确定这应该可行:
filebeat.yml
#rest of the file
template:
# Template name. By default the template name is filebeat.
#name: "filebeat"
# Path to template file
path: "custom-template.json"
和custom-template.json
中{
"mappings": {
"doc": {
"properties": {
"eventTime": {
"type": "date",
"format": "YYYY-MM-dd HH:mm:ss.SSSS"
}
}
}
}
}
但是没有。
我们使用的Filebeat版本是6.2.4和Elasticsearch 6.x
答案 0 :(得分:1)
我无法使用Filebeat配置。因此,最终在我们的服务中更改了时域格式,并且立即生效。
我发现Filebeat的官方文档缺少完整的示例。可能就是我的问题
实际上是编辑,事实证明您可以指定允许格式的列表in your mapping