我的弹性搜索索引目前有一个输入:
索引 => "log-%{+YYYY.MM.dd}"
我有一个名为 logged_timestamp 的字段,格式为“05/05/2015:14:25:56 GMT”,它似乎在 ES 中存储为 3 个部分 [“05/05/2015”、“14:25: 56", "格林威治标准时间"],
logstash 这样做了:
%{DATE_US:logged_timestamp}:%{TIME:logged_timestamp} %{DATA:logged_timestamp}
我想要做的是使用这个捕获的字段中的 YYYY MM 和 dd 而不是当前字段作为我的索引。
但是我对如何做到这一点有点困惑,甚至可以内联吗?还是我需要先更改在输入部分中捕获该字段的方式 - 我宁愿避免这种情况?日期过滤器?