Elasticsearchã®logstashå½¢å¼indexã«ã¤ã„ã¦
indexã¯Elasticsearchã«ãŠã‘るスã‚ーマã¿ãŸã„ãªã‚‚ã®ãªã‚ã‘ã§ã™ãŒã€
logstashå½¢å¼ï¼ˆLogStashã¯javaã®ãƒã‚°import機構?)ã«ã—ãŸå ´åˆã€
indexã¯importã—ãŸæ—¥æ¯Žã«ä½œæˆã•ã‚Œã¾ã™ã€‚
例ãˆã°ä»Šæ—¥ã‹ã‚‰5日間Fluentdã§å–å¾—ã—続ã‘ãŸå ´åˆã€
 logstash-2013.09.11
 logstash-2013.09.12
 logstash-2013.09.13
 logstash-2013.09.14
 logstash-2013.09.15
ã¿ãŸã„ã«indexãŒ1日毎ã«åˆ†ã‹ã‚Œã¦ä½œæˆã•ã‚Œã¾ã™ã€‚ã“ã‚Œã®åˆ©ç‚¹ã¯
・データ検索ã™ã‚‹æ™‚ã«æ—¥ä»˜ã§ç¯„囲指定ã™ã‚‹ã¨å¯¾è±¡ãƒ‡ãƒ¼ã‚¿ã‚‚絞れるã®ã§æ¤œç´¢ãŒæ—©ããªã‚‹
・ã‚る程度経éŽã—ãŸãƒ‡ãƒ¼ã‚¿ã‚’日付ã§ç®¡ç†ã—ã¦å‰Šé™¤ã—ãŸã‚Šã§ãる。ã¤ã¾ã‚Šãƒã‚°ãƒãƒ¼ãƒ†ãƒ¼ãƒˆæ©Ÿæ§‹
å¶ç„¶ã€Rebuild.fmã§èžã„ã¦ã‚¹ã‚²ãƒ¼ã¨æ€ã„ã¾ã—ãŸã€‚
データ管ç†ã¾ã§è€ƒãˆã‚‰ã‚Œã¦ã‚‹ãªã‚“ã§è‡³ã‚Œã‚Šå°½ãã›ã‚Šã§ã™ã。
å‰è¿°ã®mapping templatesã¯logstashå½¢å¼ã§ä½œã‚‰ã‚Œã‚‹indexã«å¯¾ã—ã¦
mappingを自動的ã«é©ç”¨ã§ãるよã†ã«ã—ãŸã‹ã£ãŸã®ã§èª¿ã¹ã¦ã¿ãŸã‚‚ã®ã§ã™ã€‚
当然ã€Kibanaã‚‚ã“ã®logstashå½¢å¼ã®åˆ©ç‚¹ã‚’生ã‹ã›ã‚‹ã‚ˆã†ã«ä½œã‚‰ã‚Œã¦ã„ã¾ã™ã€‚
Kibana3ã§ã®indexã®è¨å®šã¯ãƒ€ãƒƒã‚·ãƒ¥ãƒœãƒ¼ãƒ‰ã®ã‚¿ã‚¤ãƒˆãƒ«ã®å³ã®ä¸¸ã£ã½ã„ã®ã‚’
クリックã—ã¦å‡ºã¦ãã‚‹ç”»é¢ã§è¨å®šã§ãã¾ã™ã€‚
デフォルトã§logstashå½¢å¼ãŒé¸æŠžã•ã‚Œã¦ã„ã¦é€£å‹•ã—ãã†ãªæ„Ÿã˜ã§ã™ã€‚(ã¾ã 試ã—ã¦ã¾ã›ã‚“)
ã‚‚ã—ã‹ã—ãŸã‚‰@timestampã¨ã—ã‹é€£å‹•ã—ãªã„ã‹ã‚‚ã€ã¨ã¡ã‚‡ã£ã¨ç–‘ã£ã¦ã¾ã™ã€‚(ã¾ã 試ã—ã¦ã¾ã›ã‚“)
デフォルトã§logstashå½¢å¼ãŒé¸æŠžã•ã‚Œã¦ã„ã¦æ—¥ä»˜ç¯„囲é¸æŠžã¨é€£å‹•ã—ã¾ã™ã€‚
éŽåŽ»ãƒã‚°ã‚’importã™ã‚‹ã¨ã‹ã§æ—¥ä»˜ã¨é–¢ä¿‚ãªã„ケースも考ãˆã‚‰ã‚Œã¾ã™ãŒã€
ãã†ã„ã†å ´åˆãªã©ã«è‡ªåˆ†ã§å¥½ããªindexåã‚’ã¤ã‘ã‚‹ã“ã¨ã‚‚当然å¯èƒ½ã§ã™ã€‚
ãã®å ´åˆã¯ã€ãƒ—ルダウンã§noneã‚’é¸ã‚“ã§index patternã®æ‰€ã«indexåを直接入れるã‹ã€
ã‚ã‚‹ã„ã¯ã€Œ_allã€ã‚’è¨å®šã™ã‚‹ã¨å…¨ã¦ã®indexを対象ã«ã—ã¦ãã‚Œã¾ã™ã€‚
indexã‚’logstashå½¢å¼ã«ã™ã‚‹ã«ã¯Fluentdã®å ´åˆã€
「logstash_format trueã€ã‚’è¨å®šã™ã‚‹ã ã‘ã§ã™ã€‚
ã“ã®å ´åˆã€index_nameã«åå‰ã‚’ã¤ã‘ã¦ã„ãŸã¨ã—ã¦ã‚‚無視ã•ã‚Œã¾ã™ã€‚
èªã¿è¿”ã—ã¦ã¦ã€Œã¾ã 試ã—ã¦ã¾ã›ã‚“ã€ã£ã¦é…·ã„ãªã¨æ€ã„ã¾ã—ãŸãŒã€
多分ã“ã†ã„ã†ã“ã¨ã ã‹ã‚‰èª°ã‹è©¦ã—ã¦ã余裕出æ¥ãŸã‚‰ã™ã試ã›ã‚‹ã¯ãšã€ã€ã€
(追記)試してみました。
