配置索引生命周期管理

使用 Elasticsearch 中的索引生命周期管理 (ILM) 功能来管理 Auditbeat 的数据流及其后备索引，因为它们会随着时间的推移而老化。Auditbeat 会自动加载默认策略并将其应用于 Auditbeat 创建的任何数据流。

您可以在 Kibana 中的索引生命周期策略 UI 中查看和编辑该策略。有关使用 UI 的更多信息，请参阅索引生命周期策略。

配置示例

setup.ilm.enabled: true

您可以在 auditbeat.yml 配置文件的 setup.ilm 部分中指定以下设置

启用或禁用 Auditbeat 创建的任何新索引的索引生命周期管理。有效值为 true 和 false。

生命周期策略的名称。默认值为 auditbeat。

包含生命周期策略配置的 JSON 文件的路径。使用此设置加载您自己的生命周期策略。

有关生命周期策略的更多信息，请参阅 Elasticsearch 参考 中的设置索引生命周期管理策略。

设置为 false 时，禁用对现有生命周期策略的检查。默认值为 true。如果连接到安全集群的 Auditbeat 用户没有 read_ilm 权限，则需要禁用此检查。

如果将此选项设置为 false，则不会安装生命周期策略，即使将 setup.ilm.overwrite 设置为 true 也是如此。

设置为 true 时，将在启动时覆盖生命周期策略。默认值为 false。