Не создаются дневные индексы при отправке IIS лога из filebeat в Elasticsearch

Elastic In Your Native Tongue Вопросы на русском языке
1

Привет, собираю IIS лог filebeat'ом, активирован IIS module, лог отправляю сразу в Elastic.
В Elastic создается индекс filebeat-7.2.0-2019.07.10-000001 и все IIS логи со всех серверов складываются в этот индекс, что крайне неудобно. Хотелось бы иметь дневной либо месячный индексы. Версия всех компонентов 7.2.
В доке написано, что filebeat должен создавать по умолчанию дневной индекс для IIS лога. Так и было в версии 6.6.0. Вопрос, почему это не работает в версии 7.2?
Как workaround пробовал создавать свой шаблон:

setup.template:
settings:
index.number_of_shards: 1
name: "filebeat-7.2.0"
pattern: "filebeat-7.2.0-*"
enabled: true

output.elasticsearch:
hosts: ["localhost:9200"]
index: "filebeat-%{[agent.version]}-%{+yyyy.MM.dd}"

Все равно создает индекс filebeat-7.2.0-2019.07.10-000001 и кладет все логи в него.

2

Index Lifecycle Management по умолчанию создает такое название индекса.
Попробуйте добавить это в filebeat.yml: setup.ilm.enabled: false
После этого будет использоваться ваш шаблон имени.

Здесь есть ещё информация: https://www.elastic.co/guide/en/beats/metricbeat/current/ilm.html

3

Спасибо за ссылку. Добавил как вы посоветовали. Сейчас создается индекс filebeat-7.2.0-2019.07.10 и все логи улетают в него. Пробовал удалить объявленный шаблон в filebeat, но добавил отключение ilm, setup.ilm.enabled: false. Все равно создается только 1 индекс текущей даты.