起初这似乎是一项简单的任务,因为创建此索引的配置位于 /usr/share/filebeat/module/wazuh/alerts/ingest/pipeline.json
{
"date_index_name": {
"field": "timestamp",
"date_rounding": "d",
"index_name_prefix": "{{fields.index_prefix}}",
"index_name_format": "yyyy.mm.dd",
"ignore_failure": false
}
},
但是将index_name_format更改为'xxxx.ww'并重新启动filebeat,它仍然写入旧的索引格式。有人知道我是否需要做其他事情来让 filebeat 识别新的管道配置?
好的,在深入研究 Wazuh 文档后问题就解决了。
首先,每周索引的格式应该是'YYYY.ww'
第二,结果发现 pipeline.json 被缓存到elasticsearch中,需要通过以下方式清除:
DELETE _ingest/pipeline/filebeat-7.10.2-wazuh-alerts-pipeline