Changes

Minden megkapott log-sort konvertálni fog Elasticsearch dokumentumra, amit be fog szúrni egy logstash-<dátum> nevű index-be. Minden nap az aznapi index-be. Az Elasticsearch-ben ha egy document-et egy olyan indexbe akarunk beszúrni, ami még nem létezi, akkor létre fogja hozni azt az indexet a beszúrás előtt az Elasticsarch. Így a logstash-nek nem kell külön az index-ekkel bajlódni, minden nap az adott dátummal az alábbi szerkezetű dokumentumokat szúrja be ha log érkezik hozzá a logsput-ol. <syntaxhighlight lang="C++">PUT 'elasticsearch:9200/logstash_<dátum>/_doc/{ "facility" => 1, "pid" => "2334", "timestamp" => "2018-09-18T06:39:07Z", "severity" => 6, "severity_label" => "Informational", "host" => "10.0.0.3", "timestamp8601" => "2018-09-18T06:39:07Z", "program" => "elasticsearch.1.slhzfbkxe2434yqrswtc30ial", "facility_label" => "user-level", "@timestamp" => 2018-09-18T06:39:07.000Z, "message" => "\tat java.lang.Thread.run(Thread.java:844) [?:?]\n", "@version" => "1", "logsource" => "d29509c85d22", "priority" => 14 }</syntaxhighlight>