我正在使用geoip
的logstash
插件来获取有关主机的地理信息。
我在用
geoip {
source => "dst"
}
似乎有效,但是在
elasticsearch
文档中创建了以下两个字段如何将它们串联在
geoip
条目中?类似于复合json对象,例如:
"geoip" : {
"properties" : {
"latitude" : { "type" : "half_float" },
"longitude" : { "type" : "half_float" }
}
}
最佳答案
您需要在索引模板中创建以下字段:
{
"properties": {
...
"geoip": {
"type": "object",
"properties": {
"location": {
"type": "geo_point"
}
}
}
}
}