Elastic Beats-更改Beats文档中默认字段的字段类型吗?

问题描述 投票:0回答:1

我对Elastic Stack还是很陌生,从我在这个主题上所读的内容中,我仍然看不到整个图片。

例如,我正在使用Filebeat或Metricbeat的最新版本,并将该数据推送到Logstash输出(然后将其配置为推送到ES)。我希望这些节拍之一的“开箱即用”字段的字段类型发生更改(例如:将beat.hostname从当前的默认“文本”类型更改为“关键字”),什么是最佳的放置位置/最佳实践配置这个?我希望这种变化可以在运行同一Beat的多个主机之间保持一致。

elasticsearch logstash filebeat metricbeat elastic-beats
1个回答
0
投票

我不会更改任何现有字段,因为Kibana在受保护的字段+数据类型上构建了许多可视化,仪表板,SIEM等。

而是在需要时扩展(添加,请勿更改)默认映射。在默认索引模板的顶部,您可以添加自己的和they will be merged。添加更多字段将需要更多磁盘空间(并且在加载时可能需要更多内存),但是它应该是可管理的,并且避免了其他方法的许多缺点。

© www.soinside.com 2019 - 2024. All rights reserved.