Нам нужно отделить журналы pod для каждого пространства имен k8s, которые будут проиндексированы в отдельный индекс Elasticsearch. В настоящее время все журналы собираются только для одного шаблона индекса logstash-% DATE.
Есть ли способ на стороне fluntd или в logstash отделить журналы и перенаправить их на разные индексы, основанные на пространстве имен k8s, из которого поступают журналы, что было бы лучшим вариантом с точки зрения производительности, саккуляции и простота эксплуатации.
Вариант использования:
Elasticsearch является мультитенантным, поэтому нам нужно отправлять журналы каждого пространства имен в другой шаблон индекса, чтобы мы могли применить контроль доступа.