49 lines
1.5 KiB
Markdown
49 lines
1.5 KiB
Markdown
---
|
||
title: EFK - ротация логов fluent-bit
|
||
description:
|
||
published: true
|
||
date: 2025-03-13T16:02:22.898Z
|
||
tags: elk, efk, fluent-bit, rotate
|
||
editor: markdown
|
||
dateCreated: 2025-03-13T16:02:22.898Z
|
||
---
|
||
|
||
# Ротация логов fluent-bit
|
||
Не получилось сделать ротацию логов, если индекс имеет текущую дату, получилось с помощью порядокового номера
|
||
|
||
> Нужно в конфиге флюента в разделе [OUTPUT] сделать такие параметры:
|
||
Logstash_Format Off
|
||
Index smvu2-test-stand-docker
|
||
|
||
## Запросы в EFK:
|
||
После запуска контейнера лог уже отправляется в EFK и создается индекс, поэтому нужно сначала его удалить
|
||
```json
|
||
DELETE /smvu2-test-stand-docker
|
||
```
|
||
Создаем шаблон
|
||
```json
|
||
PUT _index_template/smvu2-test-stand-docker-template
|
||
{
|
||
"index_patterns": [
|
||
"smvu2-test-stand-docker-*"
|
||
],
|
||
"composed_of": ["smvu2-common-settings"],
|
||
"template": {
|
||
"settings": {
|
||
"index.lifecycle.name": "smvu2-policy",
|
||
"index.lifecycle.rollover_alias": "smvu2-test-stand-docker"
|
||
}
|
||
}
|
||
}
|
||
```
|
||
Ну и создаем индекс с алиасом, куда будет прилетать лог
|
||
```json
|
||
PUT smvu2-test-stand-docker-000001
|
||
{
|
||
"aliases": {
|
||
"smvu2-test-stand-docker": {
|
||
"is_write_index": true
|
||
}
|
||
}
|
||
}
|
||
``` |