我已经设置了一个 Elastic Stack 5.3 来聚合来自一堆服务器的日志,每个服务器中的 Filebeat 都会抓取日志并将它们发送到集中的 Logstash、Elasticsearch 和 Kibana。
我已经设置了我的 Logstash 配置来提取一些自定义字符串字段,但我希望更改索引模板以将其类型从"文本"更改为"关键字"。我已经找到了配置指令来指定我自己的模板,但是在哪里可以找到 Logstash 的默认模板,以便我可以将其用作起点?我已经在/etc/logstash 和/usr/share/logstash 下搜索过(我已经在 RHEL 7 上安装了香草 Logstash 5.3 RPM(,但找不到任何东西。
任何关于如何在logstash 5.x上创建非标准索引模板的好例子都非常方便;我找到的大多数例子都早于Beats和5.x中的新字符串类型。文档还有一些不足之处。
默认的 elasticsearch 索引模板可以在 logstash-output-elasticsearch 插件存储库中找到,网址为 https://github.com/logstash-plugins/logstash-output-elasticsearch/tree/master/lib/logstash/outputs/elasticsearch
您会在那里找到不同的模板,对于 ES 2.x、5.x 和 6.x,您正在寻找的模板可能是 5.x 模板。