由于我们使用不同目的的不同服务器,因此我们将FIlebeat配置为将日志发送到每台服务器的一个特定索引。 Beta指数:Beta 测试指数:测试 建立索引:詹金斯
所有过滤器都正常工作但是尝试获取.raw字段我认为模板配置不正确。现在我面临困难,因为似乎每个人都只使用logstash-index
我的输出是:
output {
elasticsearch {
hosts => ["172.31.28.8:9200"]
manage_template => false
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
document_type => "%{[@metadata][type]}"
}
}
此外,我安装了filebeat模板,但同样,它正在等待“filebeat-”索引,而不是我创建的那个。
答案 0 :(得分:0)
我觉得这是因为你的manage_template = false设置。您是否正在创建自己的索引模板?如果没有,请尝试允许Elasticsearch为您管理模板。
.raw字段是该字段的not_anazlyed版本。分析字符串映射的默认设置(而未分析long,date等的默认设置)。默认情况下,字符串具有分析的主字段和not_analyzed(.raw)字段。
https://www.elastic.co/guide/en/elasticsearch/reference/current/default-mapping.html