配置索引生命周期管理
编辑配置索引生命周期管理编辑
使用 Elasticsearch 中的索引生命周期管理 (ILM) 功能,在数据流老化时管理 Auditbeat 的数据流及其支持索引。Auditbeat 会自动加载默认策略并将其应用于 Auditbeat 创建的任何数据流。
您可以在 Kibana 的索引生命周期策略用户界面中查看和编辑策略。有关使用该用户界面的更多信息,请参阅索引生命周期策略。
配置示例
setup.ilm.enabled: true
如果启用了索引生命周期管理(通常为默认设置),则会忽略 setup.template.name 和 setup.template.pattern。
配置选项编辑
您可以在 auditbeat.yml 配置文件的 setup.ilm 部分中指定以下设置
setup.ilm.enabled编辑
启用或禁用 Auditbeat 创建的任何新索引上的索引生命周期管理。有效值为 true 和 false。
setup.ilm.policy_name编辑
用于生命周期策略的名称。默认为 auditbeat。
setup.ilm.policy_file编辑
包含生命周期策略配置的 JSON 文件的路径。使用此设置加载您自己的生命周期策略。
有关生命周期策略的更多信息,请参阅 _Elasticsearch 参考_ 中的设置索引生命周期管理策略。
setup.ilm.check_exists编辑
设置为 false 时,将禁用对现有生命周期策略的检查。默认为 true。如果连接到受保护集群的 Auditbeat 用户没有 read_ilm 权限,则需要禁用此检查。
如果将此选项设置为 false,则即使 setup.ilm.overwrite 设置为 true,也不会安装生命周期策略。
setup.ilm.overwrite编辑
设置为 true 时,将在启动时覆盖生命周期策略。默认为 false。