Elasticsearch 如何覆盖管道中的现有字段?
Elasticsearch how to override an existing field in a pipeline?
在我的管道中,我提取了一个时间戳。
我想覆盖现有的 timestamp 字段。
我该怎么做?
管道:
{
"description": "...",
"processors": [
{
"grok": {
"field": "message",
"patterns": [
"{TIMESTAMP_ISO8601:timestamp2}"
],
}
}
]
}
我希望 timestamp2 覆盖原始时间戳字段。
您可以像这样简单地覆盖字段名称:
"description": "...",
"processors": [
{
"grok": {
"field": "message",
"patterns": [
"%{TIMESTAMP_ISO8601:timestamp}" <--- use timestamp here instead of timestamp2
]
}
}
]
在我的管道中,我提取了一个时间戳。 我想覆盖现有的 timestamp 字段。 我该怎么做?
管道:
{
"description": "...",
"processors": [
{
"grok": {
"field": "message",
"patterns": [
"{TIMESTAMP_ISO8601:timestamp2}"
],
}
}
]
}
我希望 timestamp2 覆盖原始时间戳字段。
您可以像这样简单地覆盖字段名称:
"description": "...",
"processors": [
{
"grok": {
"field": "message",
"patterns": [
"%{TIMESTAMP_ISO8601:timestamp}" <--- use timestamp here instead of timestamp2
]
}
}
]