Hi，大家好，如題目所述，我希望能夠將 datastream 功能關閉

我現在正在安裝 ELK8.10 版本。
現在正在設定，
filebeat -> elasticsearch，
幫別的公司在設定 ELK 6 的時候沒有 datastream 這個東西，
現在設定 8.10 的時候，會自動把 indices 放到 datastream，
我不想要這樣做，我知道這是個幫你整裡很多 indics 的功能，

因為我在主機上面有很多 log，如:
syslog
nginx
php

當我使用 indices 的時候(多個 index 功能)，
這些 indices 又會出現在 index 分頁類別裡面。
我不希望同一個 filebeat 設定檔 產生的東西在不同位置，
會造成我管理上不直覺的困難，才希望能夠關掉它

filebeat.yml 使用預設:

output.elasticsearch:
  hosts: ["172.31.XXX.XXX:9200"]
  protocol: "https"
  username: "elastic"
  password: "我是密碼"

  ssl.certificate_authorities: ["/etc/filebeat/http_ca.crt"]
  ssl.verification_mode: "certificate"
  

ELK 範例圖

filebeat.yml 使用 indices:

output.elasticsearch:
  hosts: ["172.31.XXX.XXX:9200"]
  protocol: "https"
  username: "elastic"
  password: "我是密碼"

  ssl.certificate_authorities: ["/etc/filebeat/http_ca.crt"]
  ssl.verification_mode: "certificate"

  indices:
  - index: "dograbbit-dev-backend"
    when.contains:
      tags: "php"

ELK 範例圖來不及補，簡單來是說就是 dograbbit-dev-backend 會顯示在上面那張圖的 indices 裡面。

參考文件:
data stream