Falc410
Vice Admiral
- Registriert
- Juni 2006
- Beiträge
- 6.640
Ich bin absoluter Anfänger mit ES. Ich habe jetzt mehrere Tools die Logdateien ausspucken, allerdings sind die Logs sehr unterschiedlich.
Ich habe jetzt die Wahl einen Index zu erstellen und alle Tools loggen da rein oder pro Tool ein Index. In Grafana muss ich Elasticsearch aber für jeden Index einzeln als Datenquelle einrichten. In Kibana gibt es ja Index-Pattern - das gibt es in Grafan nicht. Alternativ kann ich wohl in Elasticsearch einen Alias anlegen (https://www.elastic.co/guide/en/elasticsearch/reference/master/aliases.html) und dann kann ich einen virtuellen Index anlegen der auf mehrere andere verweist. Wenn ich nun eine Abfrage mache, werden alle Index gleichzeitig abgefragt. Natürlich wirkt sich das auf die Performanz aus denke ich, aber eine andere Wahl habe ich ja kaum? Spätestens wenn ich in Grafana z.B. Daten aus zwei Tools darstellen möchte (nehmen wir an, die IP Adresse ist identsich und in beiden Indexes vorhanden) dann müsste ich ja so einen Alias nutzen, da ich in einer Query nicht mehrere Datasources angeben kann.
Sollte also ein normales Vorgehen sein, oder wäre es doch besser einen "globalen" Index zu haben? Der hat dann halt dann sehr viele unterschiedliche Felder (Mapping).
Ich habe jetzt die Wahl einen Index zu erstellen und alle Tools loggen da rein oder pro Tool ein Index. In Grafana muss ich Elasticsearch aber für jeden Index einzeln als Datenquelle einrichten. In Kibana gibt es ja Index-Pattern - das gibt es in Grafan nicht. Alternativ kann ich wohl in Elasticsearch einen Alias anlegen (https://www.elastic.co/guide/en/elasticsearch/reference/master/aliases.html) und dann kann ich einen virtuellen Index anlegen der auf mehrere andere verweist. Wenn ich nun eine Abfrage mache, werden alle Index gleichzeitig abgefragt. Natürlich wirkt sich das auf die Performanz aus denke ich, aber eine andere Wahl habe ich ja kaum? Spätestens wenn ich in Grafana z.B. Daten aus zwei Tools darstellen möchte (nehmen wir an, die IP Adresse ist identsich und in beiden Indexes vorhanden) dann müsste ich ja so einen Alias nutzen, da ich in einer Query nicht mehrere Datasources angeben kann.
Sollte also ein normales Vorgehen sein, oder wäre es doch besser einen "globalen" Index zu haben? Der hat dann halt dann sehr viele unterschiedliche Felder (Mapping).