docs: create DevOps/ELK/EFK-rotate

DevOps/ELK/EFK-rotate.md

@@ -0,0 +1,49 @@
+---
+title: EFK - ротация логов fluent-bit
+description: 
+published: true
+date: 2025-03-13T16:02:22.898Z
+tags: elk, efk, fluent-bit, rotate
+editor: markdown
+dateCreated: 2025-03-13T16:02:22.898Z
+---
+
+# Ротация логов fluent-bit
+Не получилось сделать ротацию логов, если индекс имеет текущую дату, получилось с помощью порядокового номера
+
+> Нужно в конфиге флюента в разделе [OUTPUT] сделать такие параметры:
+Logstash_Format     Off
+Index               smvu2-test-stand-docker		
+
+## Запросы в EFK:
+После запуска контейнера лог уже отправляется в EFK и создается индекс, поэтому нужно сначала его удалить
+```json
+DELETE /smvu2-test-stand-docker
+```
+Создаем шаблон
+```json
+PUT _index_template/smvu2-test-stand-docker-template
+{
+  "index_patterns": [
+    "smvu2-test-stand-docker-*"
+  ],
+  "composed_of": ["smvu2-common-settings"],
+  "template": {
+    "settings": {
+      "index.lifecycle.name": "smvu2-policy",
+      "index.lifecycle.rollover_alias": "smvu2-test-stand-docker"
+    }
+  }
+}
+```
+Ну и создаем индекс с алиасом, куда будет прилетать лог
+```json
+PUT smvu2-test-stand-docker-000001
+{
+  "aliases": {
+    "smvu2-test-stand-docker": {
+      "is_write_index": true
+    }
+  }
+}
+```