Iis 弹性搜索与索引策略

我们目前正在建立一个麋鹿堆栈来消耗我们的各种日志。目前，我们每天只使用一个索引，只有我们开发的各种应用程序的日志（约1亿个文档）。下一步是查看其他类型的日志，例如IIS、网络设备（nlb）的事件日志，以及可能将后处理文档转换为统计数据的日志。所以现在的问题是我们应该使用什么样的指数策略

在将文档后处理为统计数据方面，我最初的想法是为每个应用程序创建一个单独的索引（可能每年/每月，具体取决于数据量）。有道理吗

关于IIS日志和各种事件日志，我们只需附加到每日应用程序日志（目前每天有20k个日志）。然而，我不确定混合日志类型是否是一个好主意，尽管它更易于维护。另一种策略是为不同的日志类型（应用程序、iis、事件日志）创建单独的索引

---

非常感谢对优秀博客文章/信息的任何推荐或引用。

我为不同的日志类型推荐不同的ES类型。结构化日志记录很重要，例如，您可能希望查询IIS日志与查询Elmah错误日志不同。您可能还希望更改特定字段的索引设置，使其不被分析

您可以将所有内容保存在相同的滚动日/周/月索引中，并按类型将它们分开。类似于每日索引的示例：

PUT 20150227

PUT 20150227/iis/_mapping
{
  "properties": {
    "value1": {
      "type": "string"
    }
  }
}

PUT 20150227/errors/_mapping
{
  "properties": {
    "value2": {
      "type": "string"
    }
  }
}