加载中

日志索引模板参考

Elastic Stack Serverless

索引模板用于在创建数据流的后端索引时配置它们。这些索引模板由多个 组件模板组成——可重用的构建块,用于配置索引映射、设置和别名。

您可以在 Kibana 中查看默认的 logs 索引模板。要打开索引管理,请在主菜单中找到栈管理或使用 全局搜索字段。选择索引模板并搜索 logs。选择 logs 索引模板以查看相关的组件模板。

logs-*-* 索引模式的默认 logs 索引模板由以下组件模板组成:

  • logs@mappings
  • logs@settings
  • logs@custom
  • ecs@mappings

您可以使用 logs@custom 组件模板来自定义您的 Elasticsearch 索引。logs@custom 组件模板默认未安装,但您可以创建一个名为 logs@custom 的组件模板来覆盖和扩展默认映射或设置。为此:

  1. 要打开索引管理,请在主菜单中找到栈管理或使用 全局搜索字段
  2. 选择组件模板
  3. 点击创建组件模板
  4. 将组件模板命名为 logs@custom。
  5. 添加任何自定义元数据、索引设置或映射。

对组件模板的更改不会追溯应用于现有索引。要使更改生效,请通过触发翻转来为受影响的数据流创建新的写入索引。使用 Elasticsearch 翻转 API 执行此操作。例如,要翻转 logs-generic-default 数据流,请运行:

 POST /logs-generic-default/_rollover/

logs 索引模板使用 default_field: [*],这意味着没有指定字段的查询将在所有字段中搜索。您可以使用 logs@custom 组件模板将 default_field 更新为搜索 message 字段而不是所有字段。

如果您尚未创建 logs@custom 组件模板,请按照上一节的说明进行创建。然后,按照以下步骤更新组件模板的索引设置

  1. 要打开索引管理,请在主菜单中找到栈管理或使用 全局搜索字段

  2. 选择组件模板

  3. 搜索 logs 并找到 logs@custom 组件模板。

  4. 打开操作菜单并选择编辑

  5. 选择索引设置并添加以下代码:

    {
  "index": {
    "query": {
      "default_field": [
        "message"
      ]
    }
  }
}

  6. 点击下一步直到审阅页面,然后保存组件模板。

© . This site is unofficial and not affiliated with Elasticsearch BV.