Всем привет! Поступают от Filebeat, потом Logstash передает их в Elasticsearch. Сейчас каждый день создается новый индекс:
input {
beats {
port => 5044
}
}
filter {
date {
match => [ "logdate", "ISO8601" ]
}
}
output {
elasticsearch {
hosts => ["localhost:9200"]
sniffing => true
manage_template => false
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
# document_type => "%{[@metadata][type]}"
# document_type => "doc"
document_type => "log"
}
}
Это неудобно + большое количество индексов плохо сказывается на производительности.
Как сделать так, что бы для каждого hostname был отдельный индекс? Наблюдаемых серверов немного, большого кол-ва индексов не будет, а управлять станет удобнее.
