Добрый день.
Хочу разбирать журнал регистрации в эластике.
Журнал состоит из 2 таблиц - массива описаний и данных.
В массиве описаний хранятся идентификаторы и их описания.
Например:
ид - имя компьютера
ид - имя объекта
ид - имя пользователя
В данных хранится дополнительная информация.
Для понимания события необходимо по идентификаторам получать описания.
Возможно при создании записи индекса брать недостающую информацию из другого индекса?
Это можно сделать с помощью logstash, но это будет достаточно медленно. Мы в данный момент работаем над более быстрым вариантом в elasticsearch, но он пока не готов.
This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.