Elasti c Beats - Изменение типа поля в полях Beats по умолчанию?

Question

Я все еще довольно новичок в стеке Elasti c, и я до сих пор не вижу полную картину из того, что я читаю на этом топи c.

Допустим, я используя, например, последние версии Filebeat или Metricbeat и отправляя эти данные на выход Logsta sh (который затем настраивается на pu sh на ES). Я хочу, чтобы в поле «из коробки» одного из этих ритмов был изменен тип его поля (пример: измените beat.hostname с его текущего «text» типа по умолчанию на «keyword»), что является лучшим местом / практикой для настраивать это? Такого рода изменения я бы хотел согласовать на нескольких хостах, использующих один и тот же ритм.

Answer 1

Я бы не стал изменять существующие поля, так как Kibana строит множество визуализаций, панелей инструментов, SIEM, ... на выявленных полях + типах данных.

Вместо расширения (добавить, не изменять ) отображение по умолчанию, если это необходимо. Поверх шаблона индекса по умолчанию вы можете добавить свои собственные и они будут объединены . Добавление большего количества полей потребует больше дискового пространства (и, вероятно, памяти при загрузке), но оно должно быть управляемым и избегать многих недостатков других подходов.

Answer 2

Договорились с @xeraa. Не рекомендуется изменять шаблон по умолчанию, так как это поле может использоваться в любых визуализациях по умолчанию.

Создайте новый шаблон, вы можете иметь несколько шаблонов для одного и того же шаблона индекса. Все сопоставления будут объединены. Порядок слияния можно контролировать с помощью параметра порядка, в котором сначала применяется нижний порядок, а более высокие порядки переопределяют их.

Для вашего случая, вероятно, создайте мульти -field для любого поля, которое необходимо изменить. Например: * * * * * * * * * * * * * * * * * * * * *

* * * * * * * * *1017* * * * * * * * * * * * * *

1018 *