Type de document Elasticsearch Filebeat obsolète numéro

Question

J'utilise actuellement ELK 5.5. Il semble que document_type est désormais obsolète dans Filebeats, mais je n'ai trouvé aucun exemple de la façon de l'implémenter maintenant.

C'est ce que je reçois dans mon journal:

WARN DEPRECATED: document_type is deprecated. Use fields instead. 

Voici ma configuration actuelle de filebeat: quelqu'un

- input_type: log 

    # Paths that should be crawled and fetched. Glob based paths. 
    paths: 
    - C:\inetpub\logs\LogFiles\*\* 
    document_type: iislog 

    paths: 
    - C:\MyApp\logs\* 
    document_type: applog 

peut me dire comment réécrire mon journal lorsque vous utilisez la même version 5.5 et se débarrasser de ce message d'obsolescence. BTW, je veux utiliser le même index ES pour les deux "types de documents".

Answer 1

Au lieu d'utiliser document_type, vous pouvez utiliser fields comme celui-ci sur Filebeat:

- input_type: log 

    # Paths that should be crawled and fetched. Glob based paths. 
    paths: 
    - C:\inetpub\logs\LogFiles\*\* 
    fields: 
    service: iislog 
    fields_under_root: true 

    paths: 
    - C:\MyApp\logs\* 
    fields: 
    service: applog 
    fields_under_root: true 

Maintenant, pour le filtre de sortie Logstash, au lieu d'utiliser [type] pour appeler le document_type, vous pouvez utiliser [service]. Voici comment j'utilise sur logstash:

output { 
    if [service] == "applog" { 
    elasticsearch { 
    hosts => ["localhost:9200"] 
    user => <user> 
    password => <pass> 
    index => "applog-%{+YYYY.MM.dd}" 
    } 
    } 
enter code here 

Vérifiez ci-dessous pour plus d'informations sur les champs personnalisés sur Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/migration-changed-fields.html