Здравствуйте!
У меня есть логи вида
time:timestamp|user:user_id|status1:321|status2:1234
Не очень хочется держать в эластике одинаковые по сути поля с разными названиями (status1, status2 И так далее), да и статистику по ним получать будет очень неудобно. Единственный выход я нахожу в том, чтобы такие строки разбивать на две и такие пронумерованные параметры индексировать отдельным сообщением.
Можно ли логстэшем как то разбить это сообщение так, чтобы оно отправилось в эластик двумя сообщениями?
Первое
time: timestamp
user: user_id
status: {num:1, code:321}
Второе:
time: timestamp
user: user_id
status: {num:2, code:123}
Или я что-то упускаю и все можно сделать гораздо проще?
Увы, саму структуру логов поменять у меня нет возможности, работаю с тем, что есть(