集中式日志记录 server/Create 类似 logstash-* 的索引
Centralized logging server/Create a logstash-* like index
我正在尝试配置 ELK 以从两个不同的应用程序获取日志。据我了解,Elasticsearch 索引类似于数据库。所以我的问题是:
Is it advisable to configure separate indices for different applications and Why? What are the pros and cons from it being used as/for a centralized logging system?
ES 具有默认 logstash-* 索引的内置功能,它每天根据从日志中接收到的时间戳创建一个索引。现在我如何为我的应用程序创建一个索引,以便它被命名为不同的,比如 App1-* 其行为与 logstash-* 索引完全相同,即每天从时间戳创建?
我查看了有关索引 API 的 ES 文档,但找不到有关自定义索引的足够信息。有什么建议吗?
我使用多个索引的主要缺点是每个索引(和底层分片)都会占用 HEAP,这限制了您一次可以打开的索引数量。如果将数据合并到一个索引中,将占用更少的内存来保持数据可用。
至于每日索引,elasticsearch 会在需要时创建任何索引。在 elasticsearch{} 输出中,Logstash 允许您指定索引的名称,其中可以包含静态 ("logstash-") 和动态元素(日期、事件字段等)。
请注意,有一个应用于 "logstash-*" 索引的映射模板。如果您需要任何这些功能,您需要自己处理。
我正在尝试配置 ELK 以从两个不同的应用程序获取日志。据我了解,Elasticsearch 索引类似于数据库。所以我的问题是:
Is it advisable to configure separate indices for different applications and Why? What are the pros and cons from it being used as/for a centralized logging system?
ES 具有默认 logstash-* 索引的内置功能,它每天根据从日志中接收到的时间戳创建一个索引。现在我如何为我的应用程序创建一个索引,以便它被命名为不同的,比如 App1-* 其行为与 logstash-* 索引完全相同,即每天从时间戳创建?
我查看了有关索引 API 的 ES 文档,但找不到有关自定义索引的足够信息。有什么建议吗?
我使用多个索引的主要缺点是每个索引(和底层分片)都会占用 HEAP,这限制了您一次可以打开的索引数量。如果将数据合并到一个索引中,将占用更少的内存来保持数据可用。
至于每日索引,elasticsearch 会在需要时创建任何索引。在 elasticsearch{} 输出中,Logstash 允许您指定索引的名称,其中可以包含静态 ("logstash-") 和动态元素(日期、事件字段等)。
请注意,有一个应用于 "logstash-*" 索引的映射模板。如果您需要任何这些功能,您需要自己处理。