Почему Logstash записывает два индекса? (по умолчанию и пользовательские)

Question

Я использую Elasticsearch 5.2 и Logstash 5.2.

Моя проблема заключается в том, что Logstash записывает индекс по умолчанию (формат logstash-2017.02.15) и в свой собственный. Я просто хочу, чтобы он написал только в свой индекс «logstash-secure». Как я могу сделать?

Вот моя простая конфигурация:

output { 
    elasticsearch { 
     hosts => [ "elasticsearch:9200" ] 
     index => "logstash-secure" 
    } 
    stdout { codec => rubydebug } 
} 

PS: если вы скажете мне, что я должен использовать пользовательский шаблон, не могли бы вы объяснить мне, почему? :)

Answer 1

Я нашел решение. На самом деле у меня было два файла конфигурации, но я думал, что не было случаев.

Я решил проблему с условными утверждениями. Затем Logstash сохраняет информацию в двух разных индексах в зависимости от источника.

Вот мой новый первый конф файл:

input { 
    beats { 
     port => "5044" 
     add_field => { "log_type" => "apache" } 
    } 
} 
filter { 
[some conf] 
} 
output { 
    if [log_type] == "apache" { 
     elasticsearch { 
      hosts => [ "elasticsearch:9200" ] 
     } 
    } 
} 

И мой второй файл конф:

input { 
    file { 
    path => "/var/log/secure" 
    start_position => "beginning" 
    add_field => { "log_type" => "secure.log" } 
    } 
} 
filter { 
[some conf] 
} 
output { 
     if [log_type] == "secure.log" { 
      elasticsearch { 
       hosts => [ "elasticsearch:9200" ] 
       index => "logstash-secure" 
      } 
     } 
}