- elasticsearch/
elasticsearch 带有面向文档的elasticsearch的日志存储输出
elasticsearch 带有面向文档的elasticsearch的日志存储输出
关于此主题的第一个问题是使用下面的代码,我们可以将日志存储输出传递给elasticsearch。正如您所知,elasticsearch是面向文档的。但是下面的代码,我们只能定义一个索引而不是一个文档id。我想问的是,是否可以为每个日志存储管道输出定义不同的文档id?如果你的答案是肯定的,怎么做,如果不是为什么 第二个问题是,如果我运行下面的代码。我在elasticsearch节点中获得黄色状态。我知道如何使用manuely或通过python等发送dsl查询来更改它,但有可能在下面的代码中解决这个问题吗
elasticsearch {
hosts => ["localhost:9200"]
index => "name_of_index"
http_compression => true
}
感谢您的回答。您完全可以使用以下命令指定文档ID: 您还可以通过在索引名称中指定日期模式来确保每天都创建一个新索引(请参见上文) 还要确保在
elasticsearchmy template.jsonmy template.json{
"index_patterns": ["name_of_index*"],
"template": {
"settings": {
"number_of_shards": 1,
"number_of_replicas": 0
}
}
}
“文档名称”是指“文档id”,即给定文档的唯一标识符吗?是的,我指的是文档idImagine,我有一个具有大量日志的软件,我希望通过日期分解将其传递给elasticsearch。所以,我的目标是拥有相同的索引,但要通过日期分解这么多文档,如果我对该文档运行“get查询”,我只想获取当天的日志。可能吗?谢谢你的帮助。非常感谢这解决了我的问题。但是,最后一件事是,当我运行logstash配置时,它会将数据发送到elasticsearch它可以,但是如何解决黄色状态?我知道手动解决这个问题,或者通过python等发送dsl查询,但是在logstash elasticsearch输出中有可能解决这个问题吗?很酷,很高兴它有帮助!你只有一个ES节点吗?是的,但我可以做更多。但是我应该如何定义我应该有多少个节点呢?请参阅我的更新答案很酷,很高兴它有帮助!
{
"index_patterns": ["name_of_index*"],
"template": {
"settings": {
"number_of_shards": 1,
"number_of_replicas": 0
}
}
}