ELK之创建template
先查看index的mapping
在kibana的 Devtools中 输入
GET /access_json-2018-12-14/_mapping
看到这个mapping后添加以下配置:
{ "template" : "access_json-*", "settings" : { "number_of_shards" : "15", "number_of_replicas" : "1", "refresh_interval" : "30s" }, "mappings": { "access_json": { "properties": { "@timestamp": { "type": "date" }, "@version": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "body_bytes_sent": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "cookie_u": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "host": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "http_referer": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "http_x_forwarded_for": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "http_x_forwarded_proto": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "httpagent": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "httpversion": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "real_ip": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "remote_addr": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "request": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "request_length": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "request_time": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "ssl_cipher": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "ssl_protocol": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "status": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "tags": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "time": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "upstream": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "upstream_addr": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "upstream_http_trace_id": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "upstream_response_time": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "upstream_status": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } }, "verb": { "type": "text", "fields": { "keyword": { "type": "keyword", "ignore_above": 256 } } } } } } }
加载模板
curl -H "Content-Type: application/json" -XPUT "http://localhost:9200/_template/access_ngx" -d @access_ngx.json
第二天重新创建索引的时候,如果你的模板没问题的话,就会按照你的模板的配置index。