logstash操作日志怎么操作的？

我們在使用Logstash采集日志的時候，如果沒有指定索引庫或模板，則會使用ElasticSearch默認自帶的名字為”logstash”的模板，默認應用于Logstash寫入數據到ElasticSearch使用。但是我們希望使用自定義的索引模板，將采集的日志按照我們自身的想法來寫入，此時我們就需要用到自定義模板了。

主要有兩種方式，一種是在logstash的output插件中使用template指定本機器上的一個模板json路徑， 例如 template => "/home/logstash.json"，json里面的內容為我們自定的索引mapping，雖然這種方式簡單，但是分散在Logstash機器上，維護起來比較麻煩。還有一種是在elasticsearc服務端自定義配置模板，事先將模板設置好，然后在logstash的output輸出中指定該模板即可，這種方式比較靈活方便，可動態更改，全局生效。