Elastic Beats - Изменение типа поля полей по умолчанию в документах Beats?

Я все еще довольно новичок в Elastic Stack, и я все еще не вижу полную картину из того, что я читаю по этой теме.

Скажем, я использую последние версии Filebeat или Metricbeat, например, и помещаю эти данные в вывод Logstash (который затем настраивается для отправки в ES). Я хочу, чтобы в поле «из коробки» одного из этих ритмов был изменен тип его поля (пример: измените beat.hostname с его текущего «text» типа по умолчанию на «keyword»), что является лучшим местом / практикой для настраивать это? Такое изменение - то, что я хотел бы согласовать на нескольких хостах, использующих один и тот же бит.

Всего 1 ответ


Я бы не стал менять существующие поля, поскольку Kibana строит множество визуализаций, информационных панелей, SIEM, ... на выявленных полях + типах данных.

Вместо этого расширьте (добавьте, не меняйте) отображение по умолчанию, если это необходимо. Поверх шаблона индекса по умолчанию вы можете добавить свои собственные, и они будут объединены . Добавление большего количества полей потребует больше дискового пространства (и, вероятно, памяти при загрузке), но оно должно быть управляемым и избегать многих недостатков других подходов.


Есть идеи?

10000