我计划利用Filebeat通过Logstash将日志文件从每个节点的预定目录复制到公共Elasticsearch数据库。例如,在源目录中有 10 个日志文件具有相同的日志格式,并且它们每天都以高速增长。
尽管这10个日志文件具有相同的日志格式,但它们是由10个不同的程序生成的。因此,从长远来看,为每个日志文件构建索引可能是明智的,即 10 索引,每个索引对应一个日志文件。首先,我想知道这是一个合适的计划吗?或者只有一个所有日志数据的索引就足够了,因为索引是在每日基础上生成的?
IF 为每个日志文件构建索引是明智的,那么如何实现这一目标呢?似乎filebeat.yml只允许定义一个索引,因此使用一个Filebeat来生成多个索引是不可能的。那有什么好的解决方案吗?
答案 0 :(得分:0)
Filebeat只是托运人。它本身不能发送到多个Elasticsearch索引。为此,您需要Logstash。
在Filebeat中为日志文件定义multiple different prospectors并为字段设置不同的值,因此可以在Logstash中使用它来执行逻辑。
然后在Logstash depending on that field中,每个探测器可以有不同的值,将事件发送到一个或另一个索引。