索引模板 (Index Templates)edit

Elasticsearch 不要求你在使用一个索引前创建它。 对于日志记录类应用,依赖于自动创建索引比手动创建要更加方便。

Logstash 使用事件中的时间戳来生成索引名。 默认每天的数据被索引至不同的索引中,因此一个 @timestamp2014-10-01 00:00:01的事件将被发送至索引 logstash-2014.10.01中。 如果那个索引不存在,它将被自动创建。

通常我们想要控制一些新建索引的设置(settings)和映射(mappings)。也许我们想要限制分片数为1,并且禁用_all域。 索引模板可用来控制何种设置(settings)应当被应用于新建的索引:

PUT /_template/my_logs 
{
  "template": "logstash-*", 
  "order":    1, 
  "settings": {
    "number_of_shards": 1 
  },
  "mappings": {
    "_default_": { 
      "_all": {
        "enabled": false
      }
    }
  },
  "aliases": {
    "last_3_months": {} 
  }
}

创建一个名为 my_logs 的模板。

将这个模板应用于所有以 logstash- 开头的索引。

这个模板将会覆盖默认的 logstash 模板,因为默认模板的 order(排序) 更低。

限制主分片数量为 1

为所有类型禁用 _all 域。

添加这个索引到别名 last_3_months 中。

这个模板指定了所有名字以 logstash- 开头的索引的默认设置,不论它是手动还是自动创建的。 如果我们认为明天的索引需要比今天更大的容量,我们可以更新这个索引以使用更多的分片。

这个模板还将新建的索引添加到了别名 last_3_months 中,不过从那个别名中删除旧的索引则需要手动执行。