Metricbeat 参考指南(步骤3:在Elasticsearch中加载索引模板)

博弈

步骤3:在Elasticsearch中加载索引模板

在Elasticsearch中,索引模板用于定义设置和映射,以确定如何分析字段。

Metricbeat推荐的索引模板文件是由Metricbeat包安装的,如果你接受metricbeat.yml配置文件中的默认配置,那么Metricbeat在成功连接到Elasticsearch之后会自动加载模板。如果模板已经存在,则不会覆盖它,除非你配置Metricbeat这样做。

通过在Metricbeat配置文件中配置模板加载选项,你可以禁用自动模板加载,或者加载你自己的模板。

你还可以设置选项来更改索引和索引模板的名称。

加载索引模板需要连接到Elasticsearch,如果输出不是Elasticsearch,则必须手动加载模板。

配置模板加载

如果激活了Elasticsearch输出,默认情况下,Metricbeat会自动加载推荐的模板文件fields.yml,你可以将metricbeat.yml配置文件中的默认值更改为:

  • 加载不同的模板
setup.template.name: "your_template_name"
setup.template.fields: "path/to/fields.yml"

如果模板已经存在,则不会覆盖它,除非你配置Metricbeat这样做。

  • 覆盖现有模板
setup.template.overwrite: true
  • 禁用自动模板加载
setup.template.enabled: false

如果禁用自动模板加载,则需要手动加载模板。

  • 更改索引名称

默认情况下,Metricbeat将事件写入名为metricbeat-6.4.2-yyyy.MM.dd的索引,yyyy.MM.dd是事件被索引的日期,要使用不同的名称,可以在Elasticsearch输出中设置index选项。你指定的值应该包括索引的根名称加上版本和日期信息,你还需要配置setup.template.namesetup.template.pattern选项以匹配新名称,例如:

output.elasticsearch.index: "customname-%{[beat.version]}-%{+yyyy.MM.dd}"
setup.template.name: "customname"
setup.template.pattern: "customname-*"
setup.dashboards.index: "customname-*"

setup.dashboards.index => 如果你计划设置Kibana仪表盘,还可以设置此选项以覆盖仪表盘和索引模式中定义的索引名称。

有关配置选项的完整列表,请参阅加载Elasticsearch索引模板。

手动加载模板

要手动加载模板,运行setup命令,需要连接到Elasticsearch,如果启用了另一个输出,你需要使用-E选项暂时禁用该输出并启用Elasticsearch。这里的示例假设启用了Logstash输出,如果已经启用了Elasticsearch输出,可以省略-E标志。

如果你连接到一个安全的Elasticsearch集群,请确保你已经按照步骤2:配置Metricbeat所述配置了凭证。

如果运行Metricbeat的主机没有直接连接到Elasticsearch,请参见手动加载模板(备用方法)。

要加载模板,请为系统使用适当的命令。

deb和rpm:

metricbeat setup --template -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]

mac:

./metricbeat setup --template -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]'

docker:

docker run docker.elastic.co/beats/metricbeat:6.4.2 setup --template -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]'

win:

作为管理员打开PowerShell提示符(右键单击PowerShell图标并选择Run as Administrator)。

从PowerShell提示符,切换到你安装Metricbeat的目录,然后运行:

PS > .\metricbeat.exe setup --template -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]'

强迫Kibana查看最新的文档

如果你已经使用Metricbeat将数据索引到Elasticsearch,那么索引可能包含旧文档,加载索引模板后,可以从metricbeat-*删除旧文档,以强制Kibana查看最新的文档,使用此命令:

deb、rpm和mac:

curl -XDELETE 'http://localhost:9200/metricbeat-*'

win:

PS > Invoke-RestMethod -Method Delete "http://localhost:9200/metricbeat-*"

这个命令删除所有匹配metricbeat-*模式的索引,在运行此命令之前,请确保要删除与模式匹配的所有索引。

手动加载模板(备用方法)

如果运行Metricbeat的主机没有直接连接到Elasticsearch,你可以将索引模板导出到文件,将其移动到有连接的机器上,然后手动安装模板。

  1. 导出索引模板:
    deb和rpm:

    metricbeat export template > metricbeat.template.json

    mac:

    ./metricbeat export template > metricbeat.template.json

    win:

    PS > .\metricbeat.exe export template --es.version 6.4.2 | Out-File -Encoding UTF8 metricbeat.template.json
  2. 安装模版:
    deb、rpm和mac:

    curl -XPUT -H 'Content-Type: application/json' http://localhost:9200/_template/metricbeat-6.4.2 -d@metricbeat.template.json

    win:

    PS > Invoke-RestMethod -Method Put -ContentType "application/json" -InFile metricbeat.template.json -Uri http://localhost:9200/_template/metricbeat-6.4.2
阅读 3.9k

风继续吹
技术分享与交流

态度决定一切

2.3k 声望
518 粉丝
0 条评论

态度决定一切

2.3k 声望
518 粉丝
宣传栏