Ich habe begonnen Windows Eventlogs mit Winlogbeat zu sammeln. Dabei werden allerdings so komische Indexe erstellt die immer mit ".ds" beginnen was Datastreams sind. Ich würde die Logs aber gerne in einem ganz normalen Index sammeln. Ich habe die Konfiguration umgeschrieben, davor war
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["172.21.0.134:9200"]
# Protocol - either `http` (default) or `https`.
protocol: "https"
ssl.verification_mode: none
# Authentication credentials - either API key or username/password.
#api_key: "id:api_key"
username: "elastic"
password: "xxxxxxx"
# Pipeline to route events to security, sysmon, or powershell pipelines.
pipeline: "winlogbeat-%{[agent.version]}-routing"und ich habe es zu
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["172.21.0.134:9200"]
# Protocol - either `http` (default) or `https`.
protocol: "https"
ssl.verification_mode: none
# Authentication credentials - either API key or username/password.
#api_key: "id:api_key"
username: "elastic"
password: "fw5XeLo_I0X470yF_XQL"
# Pipeline to route events to security, sysmon, or powershell pipelines.
index: "mytest-%{[agent.name]}"
setup.ilm.enabled: false
setup.ilm.overwrite: true
setup.template.name: "mytest"
setup.template.pattern: "mytest-*"geändert. Aber trotzdem werden wieder Indexe mit ".ds" angelegt. Wie kann ich machen das der Index genau so heisst wie ich ihn in der yml Konfiguration angegeben habe?