2

我已经设置了 ELK 堆栈 5.3。现在 kibana 被“可用字段”下的很多值弄乱了。如何删除这些不需要的字段?

另外,我需要删除一些内置字段,如“beat.hostname”、“beat.name”、“beat.version”等。我怎样才能做到这一点?

4

1 回答 1

0

可用字段列仅代表可见结果集中的所有字段。(默认情况下前 500 个结果。)如果您想摆脱某些字段,您必须调整 Logstash / Ingest-Node 设置,以完全摆脱该字段。

至于删除字段,您可以使用任何过滤器来删除它们。

例子:

mutate {
  remove_field => ["%{beat}"] # delete the entire Beat field
}

mutate {
  remove_field => ["%{[beat][hostname]}"] # delete a nested field
}
于 2017-04-06T15:26:24.960 回答