我设置了一个非常类似于here描述的流利/弹性搜索/ kibana堆栈。当我查看kibana中的日志时,我注意到它们会在白天使用格式" logstash- [YYYY]。[MM]。[DD]自动编入索引。基于fluentd elasticsearch plugin的文档,您似乎可以通过设置" index_name"来创建自定义索引。属性。
我已经在日志转发器和日志聚合器上尝试了这个,但我似乎仍然在elasticsearch中获取默认索引名称。是否还需要在HA设置中自定义此索引名称?
这是日志转发器配置:
<source>
type tail
path /var/log/debug.json
pos_file /var/log/debug.pos
tag asdf
format json
index_name fluentd
time_key time_field
</source>
<match *>
type copy
<store>
type stdout
</store>
<store>
type forward
flush_interval 10s
<server>
host [fluentd aggregator]
</server>
</store>
</match>
这是日志聚合器配置:
<source>
type forward
port 24224
bind 0.0.0.0
</source>
<match *>
type copy
<store>
type stdout
</store>
<store>
type elasticsearch
host localhost
port 9200
index_name fluentd
type_name fluentd
logstash_format true
include_tag_key true
flush_interval 10s # for testing
</store>
</match>
答案 0 :(得分:0)
我在issue回购邮件中找到了解释此行为的fluent-plugin-elasticsearch。将“logstash_format”选项设置为true时,将忽略“index_name”字段。
答案 1 :(得分:0)
从中删除logstash_format。您将获得自定义索引。但是您不会在数据中获取时间戳。要获取时间戳,您必须更新ruby版本,然后将时间格式传递给流利的配置文件。