多个索引logstash模板

Question

由于我们使用不同目的的不同服务器，因此我们将FIlebeat配置为将日志发送到每个服务器的一个特定索引。 Beta指数：Beta测试指数：测试构建指数：Jenkins

所有过滤器都正常工作但尝试获取.raw字段我认为模板配置不正确。 现在我面临困难，因为似乎每个人都只使用logstash-index

我的输出是：

output {
  elasticsearch {
    hosts => ["172.31.28.8:9200"]
    manage_template => false
    index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
    document_type => "%{[@metadata][type]}"
  }
}

另外，我安装了filebeat模板，但是它再次等待“filebeat-”索引而不是我创建的那个。

Answer 1

我觉得这是因为你的manage_template = false设置。 您是否正在创建自己的索引模板？ 如果没有，请尝试允许Elasticsearch为您管理模板。

https://www.elastic.co/guide/en/logstash/current/plugins-outputs-elasticsearch.html#plugins-outputs-elasticsearch-manage_template

.raw字段是该字段的not_anazlyed版本。 分析字符串映射的默认设置（而未分析long，date等的默认设置）。 默认情况下，字符串具有分析的主字段和not_analyzed（.raw）字段。

https://www.elastic.co/guide/en/elasticsearch/reference/current/default-mapping.html