elasticsearch类型转换

Posted 2023-02-22

【中文标题】elasticsearch类型转换

【英文标题】：elasticsearch type conversion

【发布时间】：2015-03-16 21:23:20

【问题描述】：

我不清楚如何使用正确的“类型”通过 logstash 将数据上传到 Elasticsearch

我的意思是，我有一个带有 syslog 消息的文件，其中包括一个 DATE 部分：我在 logstash 中使用 GROK 来解析标识 %DATE 的字符串和消息的其他部分，然后我发送到输出 elasticsearch : elsaticsearch 中的 DATE 显示为 STRING 而不是 DATE。我希望这些数据能够在 Elsaticsearch 中使用正确的类型进行适当的限定。 其他文件也是如此，即使 GROK 将其解析为 INT、DATE 等，在 Elasticsearch 中似乎都是 STRING 我该如何解决？

提前致谢

佛朗哥

【参考方案1】：

处理日志文件中的日期的典型做法是将@timestamp 替换为该值。首先，使用 grok 从中创建一个字段，然后将其提供给 date 过滤器。

如果您需要在事件中创建第二个日期字段，您可以在日期过滤器中指定一个“目标”以将结果放入您选择的字段中。