步骤3:在Elasticsearch中加载索引模板
在Elasticsearch中,索引模板用于定义设置和映射,以确定如何分析字段。
Metricbeat推荐的索引模板文件是由Metricbeat包安装的,如果你接受metricbeat.yml
配置文件中的默认配置,那么Metricbeat在成功连接到Elasticsearch之后会自动加载模板。如果模板已经存在,则不会覆盖它,除非你配置Metricbeat这样做。
通过在Metricbeat配置文件中配置模板加载选项,你可以禁用自动模板加载,或者加载你自己的模板。
你还可以设置选项来更改索引和索引模板的名称。
加载索引模板需要连接到Elasticsearch,如果输出不是Elasticsearch,则必须手动加载模板。
配置模板加载
如果激活了Elasticsearch输出,默认情况下,Metricbeat会自动加载推荐的模板文件fields.yml
,你可以将metricbeat.yml
配置文件中的默认值更改为:
- 加载不同的模板
setup.template.name: "your_template_name"
setup.template.fields: "path/to/fields.yml"
如果模板已经存在,则不会覆盖它,除非你配置Metricbeat这样做。
- 覆盖现有模板
setup.template.overwrite: true
- 禁用自动模板加载
setup.template.enabled: false
如果禁用自动模板加载,则需要手动加载模板。
- 更改索引名称
默认情况下,Metricbeat将事件写入名为metricbeat-6.4.2-yyyy.MM.dd
的索引,yyyy.MM.dd
是事件被索引的日期,要使用不同的名称,可以在Elasticsearch输出中设置index选项。你指定的值应该包括索引的根名称加上版本和日期信息,你还需要配置setup.template.name
和setup.template.pattern
选项以匹配新名称,例如:
output.elasticsearch.index: "customname-%{[beat.version]}-%{+yyyy.MM.dd}"
setup.template.name: "customname"
setup.template.pattern: "customname-*"
setup.dashboards.index: "customname-*"
setup.dashboards.index
=> 如果你计划设置Kibana仪表盘,还可以设置此选项以覆盖仪表盘和索引模式中定义的索引名称。
有关配置选项的完整列表,请参阅加载Elasticsearch索引模板。
手动加载模板
要手动加载模板,运行setup
命令,需要连接到Elasticsearch,如果启用了另一个输出,你需要使用-E
选项暂时禁用该输出并启用Elasticsearch。这里的示例假设启用了Logstash输出,如果已经启用了Elasticsearch输出,可以省略-E
标志。
如果你连接到一个安全的Elasticsearch集群,请确保你已经按照步骤2:配置Metricbeat所述配置了凭证。
如果运行Metricbeat的主机没有直接连接到Elasticsearch,请参见手动加载模板(备用方法)。
要加载模板,请为系统使用适当的命令。
deb和rpm:
metricbeat setup --template -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]
mac:
./metricbeat setup --template -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]'
docker:
docker run docker.elastic.co/beats/metricbeat:6.4.2 setup --template -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]'
win:
作为管理员打开PowerShell提示符(右键单击PowerShell图标并选择Run as Administrator)。
从PowerShell提示符,切换到你安装Metricbeat的目录,然后运行:
PS > .\metricbeat.exe setup --template -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]'
强迫Kibana查看最新的文档
如果你已经使用Metricbeat将数据索引到Elasticsearch,那么索引可能包含旧文档,加载索引模板后,可以从metricbeat-*
删除旧文档,以强制Kibana查看最新的文档,使用此命令:
deb、rpm和mac:
curl -XDELETE 'http://localhost:9200/metricbeat-*'
win:
PS > Invoke-RestMethod -Method Delete "http://localhost:9200/metricbeat-*"
这个命令删除所有匹配metricbeat-*
模式的索引,在运行此命令之前,请确保要删除与模式匹配的所有索引。
手动加载模板(备用方法)
如果运行Metricbeat的主机没有直接连接到Elasticsearch,你可以将索引模板导出到文件,将其移动到有连接的机器上,然后手动安装模板。
-
导出索引模板:
deb和rpm:metricbeat export template > metricbeat.template.json
mac:
./metricbeat export template > metricbeat.template.json
win:
PS > .\metricbeat.exe export template --es.version 6.4.2 | Out-File -Encoding UTF8 metricbeat.template.json
-
安装模版:
deb、rpm和mac:curl -XPUT -H 'Content-Type: application/json' http://localhost:9200/_template/metricbeat-6.4.2 -d@metricbeat.template.json
win:
PS > Invoke-RestMethod -Method Put -ContentType "application/json" -InFile metricbeat.template.json -Uri http://localhost:9200/_template/metricbeat-6.4.2
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。