Изменить идентификатор в elasticsearch

У меня возникают проблемы с ElasticSearch, как я могу изменить id на другое поле в файле журнала?

Ответ 1

В выводе elasticsearch вы можете установить document_id для события, которое вы отправляете. В итоге это будет _id в поиске elastics. Вы можете использовать всевозможные параметры/ссылки на поля /..., которые доступны в конфигурации logstash. Вот так:

elasticsearch { 
    host => yourEsHost
    cluster => "yourCluster"
    index => "logstash-%{+YYYY.MM.dd}"
    document_id => "%{someFieldOfMyEvent}"
}

В этом примере someFieldOfMyEvent становится _id этого события в ES.