여러 인덱스 logstash 템플릿

우리는 다른 용도로 다른 서버를 사용하기 때문에 서버 당 하나의 특정 인덱스로 로그를 보내도록 FIlebeat를 구성했습니다. 베타 지수 : 베타 테스트 색인 : 테스트 빌드 지수 : 젠킨스여러 인덱스 logstash 템플릿

모든 필터가 제대로 작동하지만 템플릿이 제대로 구성되지 않은 믿고있는 .raw 필드를 얻기 위해 노력하고 있습니다. 모든 사람은 logstash- 인덱스를 사용하는 것 때문에 지금은 어려움에 직면하고있어

내 출력은 다음과 같습니다 또한

output { 
    elasticsearch { 
    hosts => ["172.31.28.8:9200"] 
    manage_template => false 
    index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}" 
    document_type => "%{[@metadata][type]}" 
    } 
}

, 나는 filebeat 템플릿을 설치, 그러나 다시, 그것은 "filebeat을 기다리고 있습니다 - "색인은 내가 만든 것이 아닙니다.

출처

2016-09-19 Alan Hanssen

무엇이 문제입니까? –

logstash 또는 filebeat와 다른 색인이있을 때 필드 또는 .raw를 분석하지 않는 방법. 그러나 나는 Kibana를위한 "센스"앱을 발견하는 동안 어제 해결책을 얻었다. geogash가 작동하지 않지만. –

나는 당신의 manage_template = false 설정 때문이라고 생각합니다. 당신 자신의 색인 템플릿을 만들고 있습니까? 그렇지 않은 경우 Elasticsearch에서 템플릿을 관리하도록 허용하십시오.

https://www.elastic.co/guide/en/logstash/current/plugins-outputs-elasticsearch.html#plugins-outputs-elasticsearch-manage_template

.RAW 필드는 필드의 not_anazlyed 버전입니다. 문자열 매핑의 기본 설정이 분석됩니다 (long, date 등의 기본 설정은 not_analyzed입니다). 문자열은 기본적으로 분석 된 기본 필드와 not_analyzed (.raw) 필드가 있습니다.

https://www.elastic.co/guide/en/elasticsearch/reference/current/default-mapping.html

출처

2016-09-19 23:53:55 fylie

예, manage_template을 true로 변경했습니다. 또한 편집 된 파일 버전 템플릿을 추가하고 elasticsearch에 컬링 -XPUT http : // localhost : 9200/_template/beta '-d @/etc/filebeat/filebeat.template.json'을 추가했습니다. 쉽게 템플릿을 만들고 파일 비 트 템플릿을 코드로 복사하기 전에 json 파일을 수정하여 "filebeat-"템플릿을 "beta-"(또는 인덱스가 호출 됨)으로 변경하고 동일한 프로세스를 반복하면됩니다 각 색인. 이제 내가 필요로하는 not_analyzed 문자열을 가지고 있는데, 나는 .raw 필드를 추가로 얻지 못했습니다. –

Kibana에서 색인 필드 목록을 다시로드 해 보셨습니까? (당신이 이것을 Kibana에서보고 있다고 가정) – fylie

그래, 그 일을해야하고 이전 색인도 삭제해야한다. 다른 방식으로 분석하지 않기 위해 변경하고 싶지 않았습니다. –

여러 인덱스 logstash 템플릿

답변

관련 문제