Решил проблему с отбросом лишних полей. Это можно сделать в pipelines. Просто создается новый пайп, далее выбираем поток, который нужно "редактировать", я использую простой шаблон
rule "remove filebeat_agent_version"
when
has_field("filebeat_agent_version")
then
// the following date format assumes there's no time zone in the string
remove_field("filebeat_agent_version");
end
Ответ написан
Комментировать
Комментировать
Оценили как «Нравится»
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.