В частности, у нас есть тонна сообщений журнала, постоянно поступающих в следующем формате:
Jul 23 09:24:16 mmr mmr-core[5147]: Aweg3AOMTs_1563866656876839.mt
Jul 23 09:24:18 mmr mmr-core[5210]: Aweg3AOMTs_1563866656876839.0.dn
Существуют разные идентификаторы (1563866656876839) и два возможных суффикса (mt / dn).
Мы анализируем его с помощью logstash и храним эти сообщения в одном индексе.
Когда номер идентификатора с суффиксом mt идет суффиксом gots dn в течение 1 часа, это означает «ХОРОШО» и должно получить новый статус поля сутвержденное значение в нем.Если нет, то значение поля должно быть отклонено.
Так что, в конце концов, новый индекс не нужен: D Но мне все еще интересно, как этого добиться, и можно ли вообще создать и заполнить новыйполе в документе, основанное на условии времени или как сказать ...
Спасибо за ваш ответ!