elasticsearch - 单索引或多索引
问题描述
我的环境架构是我有 15 台服务器。详情如下
第 1 组(独立)
- 服务器 1(2 个应用程序)
- 服务器 2 3 应用程序)
- 服务器 3(2 个应用程序)
- 服务器 4(3 个应用程序)
第 2 组(主从)
- 服务器 5 主服务器(2 个应用程序)
- 服务器 6 从站(2 个应用程序)
第 3 组(主站和 2 个从站)
- 服务器 7 主服务器(3 个应用程序)
- 服务器 8 从站(3 个应用程序)
- 服务器 9 从站(3 个应用程序)
第 4 组(1 主 5 从)
- 服务器 10 主服务器(1 个应用程序)
- 服务器 11 从属(1 个应用程序)
- 服务器 12 从属(1 个应用程序)
- 服务器 13 从站(1 个应用程序)
- 服务器 14 从站(1 个应用程序)
- 服务器 15 从站(1 个应用程序)
每个应用程序有 15 -20 条日志
在logstash中创建索引的最佳方法是什么?
低于索引模式 app_name-log_name-YYMMDD 更好
稍后我想在 Kibana 中以下面的表格表格形式显示时间,基于相应日志名称的消息
以下是单个日志的数据。其他日志具有相似的模式但不同的数据。我只想显示单个日志显示单个表
](https://i.stack.imgur.com/160FG.png)
解决方案
https://www.elastic.co/guide/en/logstash/current/plugins-outputs-elasticsearch.html#_writing_to_different_indices_best_practices对于创建自定义索引名称有一个很好的起点。一般来说,我会考虑将具有相似生命周期(例如将数据保留 30 天)和相似结构(大部分相同字段)的单一索引组合成一个索引。只要您有应用程序的字段,您就可以对其进行过滤,它也可以正常工作。
此外,我强烈建议使用 ILM来获得大小均匀的索引,而不是使用每日索引模式。