日志索引模板参考
编辑日志索引模板参考
编辑索引模板用于配置数据流创建时所支持的索引。这些索引模板由多个组件模板组成,这些组件模板是可重用的构建块,用于配置索引映射、设置和别名。
您可以在 Kibana 中查看默认的 logs 索引模板。要打开索引管理,请在主菜单中找到堆栈管理,或使用全局搜索字段。选择索引模板并搜索logs。选择 logs 索引模板以查看相关的组件模板。
编辑 logs 索引模板
编辑用于 logs-*-* 索引模式的默认 logs 索引模板由以下组件模板组成
-
logs@mappings -
logs@settings -
logs@custom -
ecs@mappings
您可以使用 logs@custom 组件模板来自定义您的 Elasticsearch 索引。默认情况下不安装 logs@custom 组件模板,但是您可以创建一个名为 logs@custom 的组件模板来覆盖和扩展默认映射或设置。要执行此操作
- 要打开索引管理,请在主菜单中找到堆栈管理,或使用全局搜索字段。
- 选择组件模板。
- 点击创建组件模板。
- 将组件模板命名为 logs@custom。
- 添加任何自定义元数据、索引设置或映射。
对组件模板的更改不会追溯应用于现有索引。为了使更改生效,通过触发滚动来为受影响的数据流创建一个新的写入索引。使用 Elasticsearch 滚动 API 执行此操作。例如,要滚动 logs-generic-default 数据流,请运行
POST /logs-generic-default/_rollover/
使用自定义模板设置 default_field
编辑logs 索引模板使用 default_field: [*],这意味着未指定字段的查询将在所有字段中搜索。您可以使用 logs@custom 组件模板更新 default_field,以在 message 字段中搜索,而不是在所有字段中搜索。
如果您尚未创建 `logs@custom` 组件模板,请按照上一节中的概述创建它。然后,按照以下步骤更新组件模板的索引设置
- 要打开索引管理,请在主菜单中找到堆栈管理,或使用全局搜索字段。
- 选择组件模板。
- 搜索
logs并找到logs@custom组件模板。 - 打开操作菜单,然后选择编辑。
-
选择索引设置并添加以下代码
{ "index": { "query": { "default_field": [ "message" ] } } } - 点击下一步,直到审查页面并保存组件模板。