我正在尝试将ELK配置为从两个不同的应用程序中获取日志 . 据我所知,Elasticsearch索引类似于数据库 . 所以我的问题是:
Is it advisable to configure separate indices for different applications and Why? What are the pros and cons from it being used as/for a centralized logging system?
ES具有内置功能,默认logstash- *索引,它每天创建一个索引,具体取决于它从日志中收到的时间戳 . 现在我如何为我的应用程序创建一个索引,使其名称不同,比如 App1-* ,其行为与 logstash-* 索引完全相同,即从时间戳开始每天创建?
我查看了有关索引API的ES文档,但无法为自定义索引找到足够的信息 . 这有什么指针?
1 回答
使用多个索引的主要原因是每个索引(和底层分片)都会混淆HEAP,这限制了一次可以打开的索引数量 . 如果将数据合并为一个索引,则需要较少的内存来保持数据可用 .
对于每日指数,elasticsearch将在被要求时创建任何指数 . 在elasticsearch {}输出中,Logstash允许您指定索引的名称,该索引可以包含静态(“logstash-”)和动态元素(日期,事件中的字段等) .
请注意,有一个映射模板应用于“logstash- *”索引 . 如果您需要任何该功能,则需要自己处理 .