我正在尝试为日志来自 Logstash 的 3 个节点(热、暖和冷)的 Elasticsearch 集群设置 ILM 策略。我需要在达到特定大小后翻转索引。每个日志的数据源的标题也应该在索引的名称中引用(例如event-nxlog-2022.01.01-000001)。问题是,由于项目中存在大量数据源,对于每个数据源,应该引导很多索引作为第一个索引,并且需要修改许多 logstash 配置文件。
关于提供的描述,我有两个问题:
1- 是否有必要在 Logstash 输出插件中使用、 和ilm_enabled设置ilm_policy来引用 ILM 策略?有没有办法只使用索引名称,让 elasticsearch 自己管理 ILM?ilm_rollover_aliasilm_pattern
2- 每个数据源的第一个索引是否应该自举?有没有办法创建第一个索引并自动滚动它们?或以任何方式使用索引模式通过单个查询引导所有索引?