我对Elastic Stack还是很陌生,从我在这个主题上阅读的内容中,我仍然看不到整个图片。
假设我使用的是最新版本的Filebeat或Metricbeat,然后将该数据推送到Logstash输出(然后配置为推送到ES)。我希望这些节拍之一的“开箱即用”字段的字段类型发生更改(例如:将beat.hostname从其当前的默认“文本”类型更改为“关键字”),什么是最佳的放置位置/做法?配置这个?这种更改是我希望在运行同一Beat的多个主机之间保持一致的方式。
最佳答案
我不会更改任何现有字段,因为Kibana在 protected 字段+数据类型上构建了许多可视化,仪表板,SIEM等。
如果需要,可以扩展(添加,不要更改)默认映射。在默认索引模板的顶部,您可以添加自己的和they will be merged。添加更多字段将需要更多磁盘空间(加载时可能需要更多内存),但是它应该是可管理的,并且避免了其他方法的许多缺点。
关于elasticsearch - Elastic Beats-更改Beats文档中默认字段的字段类型?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60131042/