对数突变

Question

我正在设置ELK堆栈，以及以下设置

mutate {
  id => "adding_fields"
  add_field => {
    "host" => "foo-%{[beat][version]} baz"
    "custom" => "Hello, 1+%{host}+2"
  }
}

mutate {
  remove_field => [ "host" ]
}

以custom字段中的以下字段内容结束：

Hello, 1-name,ip-192-168-92-212,foo-6.4.2 baz-2。

怎么会出这事？我只删除了：Hello, 1+foo-6.4.2 baz+2

田野的起点从哪里来？

beat字段包含以下数据：

beat.name          |  beat.hostname      |  beat.version
ip-192-168-92-212  |  ip-192-168-92-212  |  6.4.2

Answer 1

我将host字段重命名为myHost，然后custom字段变成了我所期望的。

它看起来host变量已经存在-但是作为一个隐藏字段或什么的-但是它没有被发送到ES。