Logstash 写入 ES：借助自定义模板优化数据映射与存储

发表于2025-02-26|更新于2025-02-26|日志

|浏览量:

我们的业务场景是 ES 存储的都是一些不太重要的日志，但是对存储比较敏感，但是查看了 ES 索引都是默认创建了一个副本的。这会造成存储空间翻倍。现在通过调整 logstash 配置来实现创建出来的索引应用自定义配置，比如可以实现 30 天前的日志自动清理，默认不创建副本等。

创建生命周期策略

在 ES 上创建一个生命周期策略，定义索引保留 14 天。

PUT _ilm/policy/user_monitor_point-retention-policy
{
  "policy": {
    "phases": {
      "hot": {
        "min_age": "0ms",
        "actions": {}
      },
      "delete": {
        "min_age": "14d",
        "actions": {
          "delete": {}
        }
      }
    }
  }
}

创建 ES 模板配置文件

准备一个 template 配置文件 logstash-template.json

{
  "index_patterns": "user_monitor_point-*",
  "order": 1,
  "settings": {
    "index": {
      "lifecycle": {
        "name": "user_monitor_point-retention-policy"
      },
      "number_of_replicas": 0
    }
  }
}

这里定义了应用的模板规则，应用的生命周期规则，还有副本数。

logstash 配置文件 logstash.conf

output {
  if [type] == "logstash_mixins" {
      elasticsearch {
        action   => "index"
        hosts    => ["http://10.20.20.2:9200", "http://10.20.20.3:9200","http://10.20.20.6:9200"]
        index    => "user_monitor_point-%{+YYYY.MM.dd}"
        user     => "elastic"
        password => "password"
        # 这个设置控制是否自动管理索引模板。设置为 true 时，Logstash 会自动创建和管理索引模板（包括字段映射和设置）
        manage_template => true
        # 如果已经存在相同名称的索引模板，设置 template_overwrite => true 会覆盖现有模板。
        template_overwrite => true
        template => '/etc/logstash-template.json'
     }
  }
}

这样使用 logstash 创建索引的时候就会自动应用模板规则。

当然也可以将 manage_template 设置成 false 转而使用 ES 来管理索引模板配置。

文章作者: 张理坤

文章链接: https://zahui.fan/posts/ss9srz/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源杂烩饭！

Elasticsearch ES logstash

相关推荐

使用 Elasticsearch 二进制 tar 包部署并初始化三节点集群

需要初始化配置一个 3 节点的集群，我的机器详情是： hostname IP 地址系统版本备注 node-1 10.0.0.11 AlmaLinux 9.5 初始化 master 节点 node-2 10.0.0.12 AlmaLinux 9.5 初始化 master 节点 node-3 10.0.0.13 AlmaLinux 9.5 初始化 master 节点 node-4 10.0.0.14 AlmaLinux 9.5 新增节点环境准备主机名规范 (可选)1hostnamectl set-hostname es_1 内核参数修改临时修改永久修改重启后配置会丢失 1sudo sysctl -w vm.max_map_count=262144vim /etc/sysctl.conf 1vm.max_map_count=262144 马上生效，执行 1sudo sysctl -p 关闭 selinuxredhat 系需要，Ubuntu 不用, 如果启动服务提示 Permission Denied ，如果权限没问题，那可能是 selinux...

ElasticSearch升级版本

背景：es 旧版本有 log4j 漏洞，需要进行升级处理，因为是使用 yum 安装的，升级也比较简单，这里记录一下，这里选择的版本是 7.16.2 更新日志： https://www.elastic.co/guide/en/elasticsearch/reference/7.17/release-notes-7.16.2.html 首先下载安装包阿里云镜像地址：https://mirrors.aliyun.com/elasticstack/7.x/yum/7.16.2/ 腾讯云镜像地址：https://mirrors.cloud.tencent.com/elasticstack/7.x/yum/7.16.2/ 安装1rpm -Uvh ./elasticsearch-7.16.2-x86_64.rpm 重新启动12systemctl daemon-reloadsystemctl restart elasticsearch.service 常见错误java.lang.IllegalStateException: codebase property already set:...

使用Docker部署一套用于学习的Elasticsearch集群

一般来说，学习 ES 都是自己先搭建几台虚拟机，然后在虚拟机里部署 ES 集群，这样做资源消耗比较大，一般的电脑都没有这么高的配置，我们可以使用 Docker 来快速部署一套 Elasticsearch 集群，这里以 3 节点集群为例：准备 Docker 网络集群节点之间是通过 ip 进行交互的，所以需要固定一下 ip，固定 ip 之前需要先创建一个 Docker 私有网络，并固定网段 (网段不要和你的内网冲突) 1docker network create --subnet=172.16.0.0/24 elasticsearch-br0 集群版 Elasticsearch 需要生成证书默认生成 3 年证书，我指定生成了 100 年的证书，生成到了 certs 目录下。 12345docker run --rm -it -v $(pwd)/certs:/tmp/certs elasticsearch:7.17.14 bash -c \ 'echo -e "\n\n" |...

在Kubernetes下收集ingress日志到Elasticsearch

本文 ingress 用的是 Nginx-ingress，普通的 Nginx 原理是一样的。容器运行时是 Docker。 ingress 配置ingress 需要调整一下日志格式，json 日志更有利于分析与处理。 12345678910# Source: ingress-nginx/templates/controller-configmap.yamlapiVersion: v1kind: ConfigMap... name: ingress-nginx-controller namespace: ingress-nginxdata: ... # annotation: nginx.ingress.kubernetes.io/client-body-buffer-size: 1M log-format-upstream: '{"@timestamp":...

Filebeat输出日志格式处理

使用 filebeat 可以在收集过程中进行一些简单的处理，如丢弃日志等，给后面的 kafka 等减少压力普通文本日志格式原始日志格式： 1{"log":"2022-03-15 14:53:48.972 [http-nio-8080-exec-10] o.s.c.c.c.ConfigServicePropertySourceLocator-[227]-[INFO]-Connect Timeout Exception on Url - http://localhost:8888. Will be trying the next url if available\n","stream":"stdout","time":"2022-03-15T06:53:48.972854745Z"} 这里的原始日志是指要收集的日志文件的格式，上面的这个日志是被 Kubernetes 处理过的，真正程序输出的日志应该是 log 字段。对应的...

Elasticsearch常用API操作

如果有 Kibana 的话，以下所有操作都可以在 Kibana 的 DevTools 页面进行调试，可以免去认证操作。接口功能 /_cat/health?v 集群健康状态 /_cat/shards 分片信息 /_cat/nodes 节点信息 /_cat/indices 索引信息 /_cat/allocation?v 磁盘占用 /索引名字/_mapping?pretty 查看 mapping（索引字段类型等） ?v 是详细信息输出索引12345678# 查看有哪些索引curl -u elastic:password localhost:9200/_cat/indices# 创建索引curl -u elastic:password -X PUT "localhost:9200/索引名字?pretty"# 删除索引curl -u elastic:password -s -XDELETE...

评论

数据加载中