elk原始日志存放要求
原始日志存放路径:/data/es/elasticsearch/nodes/0/indices
原始日志名称格式:logstash-type-20xx.xx.xx ( 其中type为日志的类型,如nginx)
日志数据导出的要求
日志数据导出后存放路径:/data/elkdata
日志数据导出格式:统一使用json
日志数据导出规则:contab任务在每天凌晨10分,将昨天一天内完整的elk原始日志通过匹配日志类型,利用elasticdump工具新生成的json格式的日志数据,导出到/data/elkdata下
生成后的日志名称举例:logstash-nginx-2016.07.06.json
导出脚本部分内容
/usr/bin/elasticdump --input=http://x.x.x.x:9200/logstash-nginx-$(date -d last-day +%Y.%m.%d) --output=/data/elkdata/logstash-nginx-$(date -d last-day +%Y.%m.%d).json --type=data |
原文:http://zxkcy.blog.51cto.com/4455929/1889177