是否可以在logstash中设置索引的自定义映射,但不能在elasticsearch中设置?

时间:2015-08-20 06:49:23

标签: elasticsearch mapping output logstash

在Logstash主编码中输入,过滤然后输出。

是否可以在

中设置自定义映射 
output
    { elasticsearch {

}

如果可能,我该如何设置? 通过这个例子:

    "mappings" : {
  "_default_" : {
   "properties" : {
"service" : { "type" : "integer" },
"rule" : { "type" : "integer" },
"ICMP Type" : { "type" : "integer" },
"ICMP Code" : { "type" : "integer" },
"ip_offset" : { "type" : "integer" },
"ip_id" : { "type" : "integer" },
"ip_len" : { "type" : "integer" },
"Confidence Level" : { "type" : "integer" },
"fragments_dropped" : { "type" : "integer" },
"Severity" : { "type" : "integer" },
"serial_num" : { "type" : "integer" },
"during_sec" : { "type" : "integer" },
"Attack info" : {"type": "string", "index" : "not_analyzed" },
"peer gateway" : {"type": "string", "index" : "not_analyzed" }

2 个答案:

答案 0 :(得分:1)

Logstash附带一个默认模板,用于将文档写入elasticsearch。

如果您想更改默认设置,可以更新配置并将其传递给模板文件的位置。

https://www.elastic.co/guide/en/logstash/current/plugins-outputs-elasticsearch.html#plugins-outputs-elasticsearch-template

答案 1 :(得分:0)

您可以使用模板和template_overwrite字段:

 elasticsearch {
    template => "/tttttttttttt/elasticsearch-logstash-template.json"
    index => "logstash-%{+YYYY.MM.dd}"
    cluster=>"cluster"
    template_overwrite => true
}
相关问题
最新问题