0

我已经设置了一个 Elastic Stack 5.3 来聚合来自一堆服务器的日志,每个服务器中的 Filebeat 会抓取日志并将它们发送到一个集中的 Logstash、Elasticsearch 和 Kibana。

我已经设置了我的 Logstash 配置以提取一些自定义字符串字段,但我希望更改索引模板以将它们的类型从“文本”更改为“关键字”。我找到了配置指令来指定我自己的模板,但是在哪里可以找到 Logstash 的默认模板,以便我可以将其用作起点?我在 /etc/logstash 和 /usr/share/logstash 下进行了搜索(我在 RHEL 7 上安装了 vanilla Logstash 5.3 RPM),但找不到任何东西。

任何关于如何在 logstash 5.x 上创建非标准索引模板的好例子都会非常方便;我发现的大多数示例都早于 Beats 和 5.x 中的新字符串类型。该文档还有一些不足之处。

4

1 回答 1

2

默认的 elasticsearch 索引模板可以在https://github.com/logstash-plugins/logstash-output-elasticsearch/tree/master/lib/logstash/outputs/elasticsearchlogstash-output-elasticsearch的插件库中找到

您会在其中找到不同的模板,对于 ES 2.x、5.x 和 6.x,您要查找的可能是 5.x模板。

于 2017-04-05T04:55:03.740 回答