看,灰机...

请教各位,能否指导下,索引模板如何设置,可以让索引按时间命名,多谢!

Elasticsearch | 作者 coolloves | 发布于2016年03月18日 | 阅读数:5617

使用rsyslog 直接传给elasticsearch,rsyslog配置指定索引名字为AAA,开启dynSearchIndex,官方介绍,此设置应该是会找索引模板,于是我搜索了很久,发现关于模板的教程非常少,请教下各位,能否给个例子,比如我传送的时候指定的名字为AAA,那么我建立一个索引模板为AAA*,希望索引名称能按照日期来命名,这样,每天的索引单独分开,不至于索引太大,导致后期查询过慢,多谢!!!
已邀请:

coolloves - search...

赞同来自:

抱歉,自己没看懂rsyslog设置,动态名称是在rsyslog内设置模板达到的目的,然后开启dynSearchIndex="on",就可以按照自定义的名字来传给es!
当时看rsyslog的教程,说是要寻找template,我以为是es的索引模板,后来通过日志才发现原来这个模板是rsyslog自己的.
 

stab - freshman

赞同来自:

template(name="logstash-index" type="list") {
    constant(value="logstash-rsyslog-")
    property(name="timereported" dateFormat="rfc3339" position.from="1" position.to="4")
    constant(value=".")
    property(name="timereported" dateFormat="rfc3339" position.from="6" position.to="7")
    constant(value=".")
    property(name="timereported" dateFormat="rfc3339" position.from="9" position.to="10")
}
template(name="plain-syslog" type="list") {
    constant(value="{")
    constant(value="\"@timestamp\":\"") property(name="timereported" dateFormat="rfc3339")
    constant(value="\",\"host\":\"")    property(name="hostname")
    constant(value="\",")   property(name="msg" position.from="2")
}

三斗大神写的template

要回复问题请先登录注册