1.进入kibana的索引管理界面清理调之前生成的测试数据流


2.模拟dev、uat、prod三个环境产生日志
修改filebeat配置文件，重启filebeat

  fields: 
    application: test
    env: dev
    log_type: normal

filebeat -c .\filebeat-test.yml

产生日志

查看kibana数据流(已经生成dev环境数据流)

同样方法修改filebeat配置文件中的自定义字段env的属性就可以模拟出三个环境的数据流

3.设置索引生命周期
日志会源源不断地产生，但是磁盘的空间是有限的；所以需要定期删除一部分日志，保证磁盘资源充足；有了索引生命周期，我们只需要指定一些策略就能让索引根据策略自动删除索引，释放磁盘空间

3.1创建索引生命周期策略



设置一个策略（只保留30天内的日志，设置当索引已存在 1 天或任何主分片达到 1 GB 时滚动更新）



保存索引生命周期策略

此时的索引策略并没有关联到索引上

3.2设置索引模板

索引模板关联到索引

索引模板关联索引生命周期策略

{
  "index": {
    "lifecycle": {
      "name": "test-policy"
    },
    "number_of_replicas": "1"
  }
}

3.3查看数据流



可以看到每个数据流都关联上了索引生命周期策略