0

Filebeat(s) を使用して、Logstash を使用して、各ノードの所定のディレクトリから共通の Elasticsearch データベースにログ ファイルをコピーする予定です。たとえば、ソース ディレクトリには同じログ形式の10 個のログ ファイルがあり、それらは毎日高速で拡大しています。

これら 10 個のログ ファイルのログ形式は同じですが、10 個の異なるプログラムによって生成されます。したがって、長期的には、ログ ファイルごとに 1 つのインデックスを作成することをお勧めします。つまり、それぞれが 1 つのログ ファイルに対応する10 個のインデックスを作成することです。まず、これは適切なプランですか? それとも、インデックスは毎日生成されるため、すべてのログ データに対して 1 つのインデックスだけで十分ですか?

ログ ファイルごとにインデックスを作成するのが賢明な場合、この目標を達成するにはどうすればよいでしょうか? filebeat.yml では 1 つのインデックスしか定義できないようです。したがって、1 つの Filebeat を使用して複数のインデックスを生成することは不可能です。そのための良い解決策はありますか?

4

1 に答える 1

0

Filebeat は発送元のみです。それ自体では、複数の Elasticsearch インデックスに送信できません。これには Logstash が必要です。

Filebeat では、ログ ファイルに複数の異なるプロスペクターを定義し、フィールドに異なる値を設定して、これを Logstash で使用してロジックを実行できるようにします。

次に、Logstashで、プロスペクターごとに異なる値を持つことができるそのフィールドに応じて、イベントをいずれかのインデックスに送信します。

于 2016-05-01T21:41:47.440 に答える