@vlarkanov

Logstash: как создавать по одному индексу для хоста?

Всем привет! Поступают от Filebeat, потом Logstash передает их в Elasticsearch. Сейчас каждый день создается новый индекс:

input {
beats {
port => 5044
}
}

filter {
date {
match => [ "logdate", "ISO8601" ]
}
}

output {
elasticsearch {
hosts => ["localhost:9200"]
sniffing => true
manage_template => false
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
# document_type => "%{[@metadata][type]}"
# document_type => "doc"
document_type => "log"
}
}


Это неудобно + большое количество индексов плохо сказывается на производительности.

Как сделать так, что бы для каждого hostname был отдельный индекс? Наблюдаемых серверов немного, большого кол-ва индексов не будет, а управлять станет удобнее.
  • Вопрос задан
  • 511 просмотров
Пригласить эксперта
Ответы на вопрос 1
Softer
@Softer
Наверно как-то так:
index => "%{host}"
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы