Winlogbeat 8.12의 변화

beat 제품군은 8 버전부터 Data stream 사용이 디폴트. 그게 마음에 안 들면 다음 설정을 이용해서 인덱스명을 직접 지정할 수 있다.

그런데 해당 설정이 8.12 버전에서 동작하지 않는다. 8.4 버전까지는 잘 됐는데 어찌어찌 이름은 바뀌는데 무조건 Data stream으로 만들어짐.

사용자 템플릿 사용 조건이 까다로워진 모양. 기본 템플릿 disable 설정 추가.

이후 사용자 템플릿 적용.

PS C:\ELK\winlogbeat-8.12.0-windows-x86_64> .\winlogbeat.exe setup
lifecycle policy loading not enabled.
Template loading not enabled.
Index setup finished.
Loading dashboards (Kibana must be running and reachable)
Loaded dashboards
Loaded Ingest pipelines

이제 원하는 인덱스명 사용 가능.

24.04.01

(키바나 UI가 아닌) REST API로 인덱스 템플릿을 만들면 setup.template.enabled 옵션 및 setup 실행 과정 필요 없음. 

관련 글

• Winlogbeat 8의 변화
• composable template forbids index auto creation