Блог

Я хотел бы извлечь дополнительные поля json из event.original. В документации говорится, что поле не индексируется и может быть перезаписано, но я не уверен, как это сделать. https://www.elastic.co/guide/en/ecs/current/ecs-event.html#field-event-original . Поле не проиндексировано, что означает, что оно недоступно для поиска.

Я подумал что-то вроде

 - decode_json_fields:
      fields: [event.original]
      process_array: true
      max_depth: 1
      target: ""
      overwrite_keys: false
      add_error_key: true
 

выдаст правильный вывод, но никаких дополнительных полей создано не было.