У меня есть сомнения относительно того, как logstash обновляет существующую запись в индексе эластичного поиска с тем же document_id и выполняется как запланированное задание с базой данных (ES-LS-DB). Logstash удаляет все записи в индексе и повторно вставляет все или просто обновляет обновленную запись, сопоставляя идентификатор документа? (этот идентификатор документа получен из базы данных)
как logstash обновляет ту же запись в эластичном поиске с тем же идентификатором
Ответы (1)
используйте замену в фильтре в файле конфигурации: Тип значения — хэш. Для этого параметра нет значения по умолчанию. Замените поле новым значением. Новое значение может включать строки %{foo}, которые помогут вам создать новое значение из других частей события.
Пример:
filter {
mutate {
replace => { "message" => "%{source_host}: My new message" }
}
}
person
saman.firouzi
schedule
24.10.2017
