検索ペイロード変換（Search payload transform）

Watcher search payload transform

クラスターで検索を実行し、ウォッチ実行コンテキスト内の現在のペイロードを返された検索応答で置き換えるpayload transform。以下のスニペットは、ウォッチレベルでシンプルな検索変換を定義する方法を示しています:

Js

{
  "transform" : {
   "search" : {
   "request" : {
   "body" : { "query" : { "match_all" : {} }}
   }
   }
  }
}

他の検索ベースの構造と同様に、Elasticsearchがサポートする完全な検索APIを利用できます。たとえば、以下の検索ペイロード変換は、error優先度のイベントと一致するすべてのイベントインデックスに対して検索を実行します:

Js

{
  "transform" : {
   "search" : {
   "request" : {
   "indices" : [ "events-*" ],
   "body" : {
   "size" : 0,
   "query" : {
   "match" : { "priority" : "error"}
   }
   }
   }
   }
  }
}

以下の表は、検索ペイロード変換のすべての利用可能な設定を示しています:

表 88. 検索ペイロード変換設定

Template support

検索ペイロード変換はmustache テンプレートをサポートしています。これは、本文定義の一部として、または既存のテンプレート（ファイルに定義されているか、保存されたスクリプトとしてElasticsearchに保存されている）を指すことができます。

たとえば、以下のスニペットは、ウォッチのスケジュールされた時間を参照する検索を示しています:

Js

{
  "transform" : {
   "search" : {
   "request" : {
   "indices" : [ "logstash-*" ],
   "body" : {
   "size" : 0,
   "query" : {
   "bool" : {
   "must" : {
   "match" : { "priority" : "error"}
   },
   "filter" : [
   {
   "range" : {
   "@timestamp" : {
   "from" : "{{ctx.trigger.scheduled_time}}||-30s",
   "to" : "{{ctx.trigger.triggered_time}}"
   }
   }
   }
   ]
   }
   }
   }
   }
   }
  }
}

テンプレートのモデルは、提供されたtemplate.params設定と標準ウォッチ実行コンテキストモデルの結合です。

以下は、提供されたパラメータを参照するテンプレートを使用する例です:

Js

{
  "transform" : {
   "search" : {
   "request" : {
   "indices" : [ "logstash-*" ],
   "template" : {
   "source" : {
   "size" : 0,
   "query" : {
   "bool" : {
   "must" : {
   "match" : { "priority" : "{{priority}}"}
   },
   "filter" : [
   {
   "range" : {
   "@timestamp" : {
   "from" : "{{ctx.trigger.scheduled_time}}||-30s",
   "to" : "{{ctx.trigger.triggered_time}}"
   }
   }
   }
   ]
   }
   },
   "params" : {
   "priority" : "error"
   }
   }
   }
   }
   }
  }
}