複数のインデックスlogstashテンプレート

Question

異なる目的の異なるサーバを使用しているため、サーバごとに1つの特定のインデックスにログを送信するようにFIlebeatを設定しました。 ベータランキング：ベータテスト ランキング：テスト ビルドランキング：ジェンキンス

すべてのフィルタが正常に動作しますが、私は、テンプレートが正しく設定されていなかったと信じた.rawフィールドを取得しようとしています。誰もが唯一logstash-インデックスを使用しているようですので、今、私は苦労に直面しています

私の出力は次のようになります。また

output { 
    elasticsearch { 
    hosts => ["172.31.28.8:9200"] 
    manage_template => false 
    index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}" 
    document_type => "%{[@metadata][type]}" 
    } 
} 

、私はfilebeatテンプレートをインストールしますが、再び、それは「filebeatを待っています - "私が作成したものではなく、インデックス。

Answer 1

あなたのmanage_template = false設定が原因であると感じています。あなた自身のインデックステンプレートを作成していますか？そうでない場合は、Elasticsearchにテンプレートを管理させてください。

https://www.elastic.co/guide/en/logstash/current/plugins-outputs-elasticsearch.html#plugins-outputs-elasticsearch-manage_template

の.rawフィールドは、フィールドのnot_anazlyedバージョンです。文字列マッピングのデフォルト設定が解析されます（long、dateなどのデフォルト設定はnot_analyzedです）。デフォルトでは、文字列には解析されたメインフィールドとnot_analyzed（.raw）フィールドがあります。

https://www.elastic.co/guide/en/elasticsearch/reference/current/default-mapping.html