我最近开始使用 Packetbeat。
对于我的用例,我只需要一些特定的字段(如果可以的话,我会完全重写映射,但将其作为最后的手段)。
我尝试从“dns.answers”对象数组中删除一些字段,但我所做的似乎没有任何效果:
- include_fields:
fields:
- dns.question.name
- dns.question.type
- dns.answers
- dns.answers_count
- dns.resolved_ip
- drop_fields:
fields:
- dns.answers.name
此外,我还尝试仅包含我想要但似乎也不起作用的字段,例如:
- include_fields:
fields:
- dns.question.name
- dns.question.type
- dns.answers.data
- dns.answers_count
- dns.resolved_ip
有任何想法吗?如果重写索引的模板/映射是最好的选择,或者使用 Ingest Node Pipelines 是一种更好的方法,我很想听听。
谢谢