天道酬勤,学无止境

替换默认的logstash映射模板

修改elasticsearch映射模板——替换默认的logstash映射模板为nginx开头的模板

相信很多探索ELK的朋友和我一样,总是想把nginx访问日志的索引名称修改为自己想要的名称模式,例如:nginx-access-YY.MM.DD,不相信使用默认的必须以logstash-开头的,但是就这一个更改却可能带来很多的问题,比较常见的是自定义的映射模板导入失败,参数不生效,geoip的定位信息无法在kibana中调用,笔者也是吃尽了苦头,查阅了很多的技术博客,理解了模板映射的原理后,反复尝试才成功使用上了自定义的模板映射文件。不知道很多前辈是踩过坑都不说还是之前的版本有新版有区别,反正没有看到对此问题说的特别清晰的文章,所以笔者吃尽苦头之后,还是把自己的心路历程写出来,希望对后人有所帮助。cat /usr/share/logstash/vendor/bundle/jruby/2.3.0/gems/logstash-output-elasticsearch-9.2.0-java/lib/logstash/outputs/elasticsearch/elasticsearch-template-es7x.json{ "template" : "logstash-*", "version" : 60001, "settings" : { "index.refresh_interval" : "5s", "number_of_shards": 1 }, "mappings" : {

2021-05-12 12:19:22    分类:博客    修改elasticsearch映射模板   替换默认的logstash映射模板   自定义logstash映射模板   elk