【最佳实践】如何使用 Elasticsearch ingest 节点来丰富日志和指标

从历史上看，数据丰富功能仅在 Logstash 中可用，但由于 Elasticsearch 7.5.0 中引入了 enrich 处理器，因此可以直接在 Elasticsearch 中进行丰富，而无需配置单独的服务/系统。如果你想知道在 Logstash 中是如何实现，那么请参阅我之前的文章 “Logstash：运用 jdbc_streaming 来丰富我们的数据”。

由于通常用于丰富的主数据通常是在 CSV 文件中创建的，因此在此博客中，我们将逐步说明如何使用 CSV 文件中的数据将在摄取节点上运行的 enrich 处理器用于丰富数据。

样本 CSV 数据

我们可以使用阿里云Elasticsearch中的 Kibana ，或通过 ECS 自建 ELK，导入以下 CSV 格式的示例主数据，然后在将文档吸收到 Elasticsearch