PROSAGA码农传奇-运筹学-使用父记录加入logstash

使用父记录加入logstash

作者: 日耀九洲
发布时间: 2024-12-27 03:19:42 (1月前)
转自：

<div class =“post-text”itemprop =“text”>
  <P>
    一个想法是使用
    <a href="https://www.elastic.co/guide/en/logstash/current/plugins-filters-elasticsearch.html" rel="nofollow">
       <code>
        elasticsearch
      </code>
       logstash过滤器
    </A>
     为了在Logstash处理访问日志文档时获取给定的发布。
  </p>
  <P>
    该过滤器将检索
     <code>
      sm_creator
    </code>
     在该领域
     <code>
      publications
    </code>
     索引具有相同的
     <code>
      object_id
    </code>
     并使用您需要的出版物文档中的任何字段丰富访问日志。此后，您只需查询logstash- *索引即可。
  </p>
   <pre>
    <code>
      elasticsearch {
  hosts => ["localhost:9200"]
  index => publications
  query => "id:%{object_id}"
  fields => {"sm_creator" => "author"}
}

</code>
  </pre>
  <P>
    因此，您的访问日志文档将在此之后显示为
    的<strong>
      “给我所有访问'史密斯，约翰'的出版物”
    </强>
     你可以简单地查询
     <code>
      sm_creator
    </code>
     所有logstash索引中的字段
  </p>
   <pre>
    <code>
      {
  "type": "apache_access",
  "clientip": "192.243.xxx.xxx",
  "verb": "GET",
  "request": "/publications/boreal:12345?direction=rtl&language=en",
  ...
  "url_path": "/publications/boreal:12345",
  "url_params": {
    "direction": "rtl",
    "language": "end"
  },
  "object_id": "boreal:12345",
  "author": [
    "Smith, John",
    "Dupont, Albert",
    "Reegan, Ronald"
  ],
  ...
}

</code>
  </pre>
</DIV>