我正在设置ELK堆栈,以及以下设置
mutate {
id => "adding_fields"
add_field => {
"host" => "foo-%{[beat][version]} baz"
"custom" => "Hello, 1+%{host}+2"
}
}
mutate {
remove_field => [ "host" ]
}
最终在custom字段中包含以下字段内容:
Hello, 1-name,ip-192-168-92-212,foo-6.4.2 baz-2。
这是怎么发生的?
我只说明:Hello, 1+foo-6.4.2 baz+2
该字段的开头来自哪里?
beat字段包含以下数据:
beat.name | beat.hostname | beat.version
ip-192-168-92-212 | ip-192-168-92-212 | 6.4.2
答案 0 :(得分:0)
我将host字段重命名为myHost,然后custom字段变成了我所期望的。
看起来host变量已经存在-但作为隐藏字段或其他内容-但没有发送给ES。