我用两个不同的index(index)流设置了ELK环境。两个流都具有一个具有相同值的字段,但字段名称不同。 有没有可能合并它们或类似的东西,所以当我使用Kibana过滤器时,它会向我显示两个文件中的值。
因此我可以设置可视化,但是当我对流1进行过滤时,流2的可视化为空。
我也尝试将indedx命名为相同名称,但没有帮助。
示例: index1字段名称信息ID = 123 index2字段名称ID = 123
我想在两个流上都使用过滤器
答案 0 :(得分:0)
您可以创建一个包含两个索引的别名。使用脚本字段针对别名编写查询。 在脚本字段中,您可以根据基础文档定义新字段及其源逻辑。
"script_fields": {
"my_script_field": {
"script": {
"lang": "painless",
"inline": "doc['some_field'].value + doc['another_field'].value"
}
这样,结果集将具有单个字段“ my_script_field”