是否可以更新Elasticsearch中的现有文档？

Question

考虑以下用例：

• 我想从一个特定的日志行中的信息进行索引到Elasticsearch，作为文档X.
• 我想从一些日志行的信息进一步下跌的日志文件被索引到同一个文档X中（不是覆盖原始文件，只是增加更多的数据）。

第一部分，我明显可以用filebeat实现。

对于第二，有没有人有关于如何处理它的主意？我是否仍然可以在摄取节点上使用filebeat +某些管道，例如？

很显然，我可以使用ES API更新上述文件，但我一直在寻找一些解决方案，并不需要更改我的应用程序 - 更确切地说，它是所有可能使用的日志文件来实现的。

在此先感谢！

Answer 1

不，这不是一件击败的目的是要完成的任务。像你所描述的丰富是Logstash可以帮助的事情之一。

Logstash有Elasticsearch input，将让你从ES检索数据并在管道中进行浓缩使用它。而Elasticsearch output支持UPSERT操作（如果存在更新，如果不插入新）。同时使用这些功能，您可以丰富和更新文件作为新的数据进来。

你可能要考虑摄取日志行为的就是能Elasticearch。然后使用Logstash，建立一个独立的实体特定的索引，并根据日志中的数据进行驱动。