我有一个Elasticsearch接收管道来吸收日志,但是如果它在消息字段中包含某个字符串,我想删除该文档。我正在尝试为此使用放置处理器,但是该文档似乎没有被放置。
我有以下放置处理器:
"drop": {
"if" : "ctx.message == '(^commit{dir=.+)'"
},
我希望这会在消息字段中删除所有具有匹配表达式的文档,但这不会发生。我是否误解了该处理器的工作原理?
谢谢
答案 0 :(得分:1)
好吧,经过大量的搜寻,我发现了这个https://github.com/elastic/elasticsearch/issues/36150
这是一个已知的错误,已在7.4中修复