0

ファイルビートで ELK スタックを使用しています。マッピングにデフォルトのテンプレートを使用しています。必要なすべてのフィールドを「インデックス付き」として取得していません

これが私のマッピングファイルです。

 {
  "mappings": {
    "_default_": {
      "_all": {
        "enabled": true,
        "norms": {
          "enabled": false
        }
      },
      "dynamic_templates": [
        {
          "template1": {
            "mapping": {
              "doc_values": true,
              "ignore_above": 1024,
              "index": "not_analyzed",
              "type": "{dynamic_type}"
            },
            "match": "*"
          }
        }
      ],
      "properties": {
        "@timestamp": {
          "type": "date"
        },
        "offset": {
          "type": "long",
          "doc_values": "true"
        }
      }
    }
  },
  "settings": {
    "index.refresh_interval": "5s"
  },
  "template": "filebeat-*"
}

出力用の構成ファイルは次のとおりです。

output {
  elasticsearch {
    hosts => ["localhost:9200"]
    sniffing => true
    manage_template => false
    index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"  
    document_type => "%{[@metadata][type]}"
  }
}

channelフィールドとしてフィールド名が欲しいとしましょうindexed。テンプレートを変更するには?

4

0 に答える 0