默认的FileBeat配置下,JSON的日志内容以原文格式的方式保存到message字段
目前发现两种方式激活JSON内容的解析:
-
使用filebeat.inputs下配置json.keys_under_root: true后可以,直接解析json
-
使用processor decode_json_fields
在ES里的字段类型,基本类型由JSON字段类型确定,但类似Date类型或者是大数类型则需要,ES的Index Temple里设置自动转换,网上也有说修改源代码的,这个方式太麻烦了
ES默认支持的日期格式只有三个,特定格式需要自己添加,重点关注date_detection相关的属性
