2017-04-04 210 views
0

我从一堆服务器中的每个服务器刮日志并将它们发送到集中Logstash的,Elasticsearch并设置一个弹性堆栈5.3汇总日志,与Filebeat Kibana。修改默认elasticsearch模板

我建立了我的Logstash配置提取一些自定义字符串字段,但我想改变索引模板从“文”到“关键字”改变自己的类型。我已经找到配置指令来指定我自己的模板,但我在哪里可以找到Logstash的默认模板,以便我可以将其用作起点?我在/ etc/logstash和/ usr/share/logstash(我已经在RHEL 7上安装了一个vanilla Logstash 5.3 RPM)下进行了搜索,但找不到任何东西。

如何创建logstash 5.x的非标准指数模板将是非常方便的任何很好的例子;我在5.x中发现了大部分早期节拍和新字符串类型的例子。该文件留下了一些需要。

回答

1

默认elasticsearch指数模板可以在logstash-output-elasticsearch插件库在https://github.com/logstash-plugins/logstash-output-elasticsearch/tree/master/lib/logstash/outputs/elasticsearch

发现你会在那里找到不同的模板,为ES 2.x中,5.x和6.x,一个你”重新寻找可能是the 5.x one

+0

谢谢!我还注意到,logstash打印模板,它的启动日志(/var/log/logstash/logstash.plain): [2017-04-04T13:36:38202] [INFO] [logstash.outputs.elasticsearch]尝试安装模板{模板内容略} – Zirzirikos

+0

确实!很高兴帮助! – Val