我正在解析logstash中的两个不同的日志文件，并将其存储在不同的索引中。

<PostalSender>
        <PostalArea>
          <CreationDateTime>2015-02-26</CreationDateTime>
          <PostalID>90000</PostalID>
          </PostalArea>
</PostalSender> 

<PostalReceiver>
        <PostalArea>
          <PostalNo>90000</PostalNo>
        </PostalArea>
</PostalReceiver>

我想比较postalid和postalno，如果两个字段的值相等，那么我必须在receiver index中添加creationdatetime字段，并在kibana中显示该字段。我正在使用下面的过滤器

if[type]=="receiver"{
elasticsearch {
              hosts => ["localhost"]
              query => "type:sender %{[pp.PostalID]}"
             add_field => {"datetime"=>"pp.CreationDate"}
}
}

我没有在receiver索引中添加新字段“datetime”。
提前谢谢。