如果您知道所有字段都是什么(看起来像您一样),则可以简单地重命名字段:
mutate {
rename => [
"[results][id]", "id",
"[results][name]", "name"
]
remove_field => "results"
}
如果您不知道所有字段是什么,则可以编写一个ruby
代码过滤器,该过滤器执行并event['results'].each...
从结果的子字段中创建新的字段。