我刚打酱油去了,不好意思

同应用的日志写一个index吗?

Elasticsearch | 作者 shjdwxy | 发布于2017年05月22日 | 阅读数:2637

hi
    如果一个应用输出两类日志,两类日志包含的信息差异很大,这样的话,logstash切分日志后生成的json将会差别很大,最直接的表现是包含的字段都不一样。
    这样的情况下,大家怎么处理的呢?同写到一个index中,这样的话效率会比较低。如果写到一个index的不同type,灵活度比较差(相同名称的field,value类型必须相同,查询也不方便)
   谢谢
已邀请:

leighton_buaa

赞同来自:

那就写到两个index呗

shjdwxy

赞同来自:

@leighton_buaa 目前也就只能这样了

temence - 90 IT

赞同来自:

楼主,想请问下,在创建index的时候,是按照什么原则去划分呢?每台filebeat日志采集创建一个索引?同一种应用创建你一个索引?不同日志创建索引?还是其他呢?如果两个filebeat 6.2 节点按照默认模板output elaticsearch,默认的index名称就重复了,这样会冲突吗?

要回复问题请先登录注册