由於我們使用不同目的的不同服務器,因此我們將FIlebeat配置爲將日誌發送到每個服務器的一個特定索引。 貝塔指數:貝塔 測試指標:測試 構建索引:詹金斯多索引logstash模板
所有的過濾器工作正常,但試圖讓.RAW領域我認爲,模板被配置不正確。現在我面臨着一個困難時期,因爲似乎每個人只能使用logstash-指數
我的輸出是:
output {
elasticsearch {
hosts => ["172.31.28.8:9200"]
manage_template => false
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
document_type => "%{[@metadata][type]}"
}
}
此外,我安裝了filebeat模板,但同樣,它在等待「filebeat - 「索引而不是我創建的索引。
我覺得這是因爲你的manage_template = false設置。你是否創建了自己的索引模板?如果不是,請嘗試讓Elasticsearch爲您管理模板。
的.RAW字段的字段not_anazlyed版本。分析字符串映射的默認設置(而不分析long,date等的默認設置)。字符串默認情況下有一個分析主字段和一個not_analyzed(.raw)字段。
https://www.elastic.co/guide/en/elasticsearch/reference/current/default-mapping.html
是的,我確實更改爲了manage_template。此外,我添加了filebeat模板的編輯版本,並通過 'curl -XPUT'http:// localhost:9200/_template/beta'-d @/etc/filebeat/filebeat.template.json'將其添加到elasticsearch中。 創建模板,使用之前但之前的代碼複製filebeat模板,只需修改json文件,將模板「filebeat-」更改爲「beta-」(或者調用索引),然後重複該過程每個索引。現在我有我需要的not_analyzed字符串,我沒有得到額外的.raw字段,雖然 –
你嘗試重新加載你的索引字段列表在Kibana? (假設你在Kibana中查看這個) – fylie
是的,我必須這樣做,並刪除以前的指數。它不想改變,否則不予分析。 –
什麼問題? –
當索引與logstash或filebeat不同時,如何獲取未分析的字段或.raw。但昨天我發現了Kibana的「Sense」應用程序,但我確實得到了解決方案。雖然geogash不起作用。 –