日志索引

特点

与普通索引和文件索引不同的是，日志索引主要用于存放各种操作日志，例如 Web 访问日志、系统操作日志、事件等等连续生成的时序数据。

这类数据的特点是：

• 量非常大
• 只添加，极少修改和删除

创建日志索引

创建索引时，选择 日志索引 作为索引类型即可：

存储结构

日志索引底层基于搜索引擎的 Data Streams 特性实现，一个日志索引由一个或多个隐藏的、自动生成的物理索引组成。理论上支持上不封顶的日志数量存储。

具体存储结构如下：

添加到日志索引的每个记录都必须包含一个字段，映射为 date 或 date_nanos 类型，字段名称是 @timestamp。

搜索请求

向日志索引提交搜索或读取请求时，请求会自动路由到其所有物理索引。

索引请求

最近创建的物理索引是数据流的写入索引。日志索引仅将新文档添加到此索引。