日志索引模板参考
Elastic Stack Serverless
索引模板用于配置数据流的后备索引,因为它们是在创建时配置的。 这些索引模板由多个 组件模板 组成,这些组件模板是可重用的构建块,用于配置索引映射、设置和别名。
您可以在 Kibana 中查看默认的 logs 索引模板。 要打开 索引管理,请在主菜单中找到 Stack Management 或使用 全局搜索字段。 选择 索引模板 并搜索 logs。 选择 logs 索引模板以查看相关的组件模板。
logs-*-* 索引模式的默认 logs 索引模板由以下组件模板组成:
logs@mappingslogs@settingslogs@customecs@mappings
您可以使用 logs@custom 组件模板来自定义您的 Elasticsearch 索引。 默认情况下不安装 logs@custom 组件模板,但是您可以创建一个名为 logs@custom 的组件模板来覆盖和扩展默认映射或设置。 要执行此操作:
- 要打开 索引管理,请在主菜单中找到 Stack Management 或使用 全局搜索字段。
- 选择 组件模板。
- 单击 创建组件模板。
- 将组件模板命名为 logs@custom。
- 添加任何自定义元数据、索引设置或映射。
对组件模板的更改不会追溯应用于现有索引。 为了使更改生效,请通过触发滚动更新为受影响的数据流创建新的写入索引。 使用 Elasticsearch 滚动更新 API 执行此操作。 例如,要滚动更新 logs-generic-default 数据流,请运行:
POST /logs-generic-default/_rollover/
logs 索引模板使用 default_field: [*],这意味着没有指定字段的查询将在所有字段中搜索。 您可以更新 default_field 以使用 logs@custom 组件模板在 message 字段中搜索,而不是在所有字段中搜索。
如果您尚未创建 logs@custom 组件模板,请按照上一节中的概述创建它。 然后,按照以下步骤更新组件模板的 索引设置
要打开 索引管理,请在主菜单中找到 Stack Management 或使用 全局搜索字段。
选择 组件模板。
搜索
logs并找到logs@custom组件模板。打开 操作 菜单并选择 编辑。
选择 索引设置 并添加以下代码
{ "index": { "query": { "default_field": [ "message" ] } } }单击 下一步 直到 查看 页面并保存组件模板。