我有很多旧的日志文件,格式为drupallogYYYYMMDD,我想在logstash中抛出,默认情况下,elasticsearch输出会为今天创建索引。我可以使用index: "...."覆盖它,但有没有办法在logstash conf文件中设置它,这样它从上面获取YYYYMMDD并将其转换为命名约定logstash-YYYY-MM-DD?
答案 0 :(得分:0)
elasticsearch output的索引选项默认为“logstash - %{+ YYYY.MM.dd}”,但如果您愿意,可以将其更改为“logstash - %{+ YYYY-MM-dd}”你日期的连字符。
插入到所述索引名称模式中的日期是每个消息(即@timestamp)字段的时间戳。由于@timestamp是UTC,因此可能与日志文件名中的日期不完全对应,具体取决于您为文件命名的方式以及您所在的时区。您不应尝试更改@timestamp字段的时区。其他工具依赖于消息的@timestamp字段与其存储的索引之间的映射。