业务日志和监控日志

只有两种情况需要操作 Data Views，其他时候完全不用管：

1. 什么时候需要操作 Data Views？

• 业务日志（非监控日志）：比如你通过 filebeat.inputs 收集的应用日志（存储在 shihao-logs-* 等自定义索引中），需要手动创建 Data View 关联这些索引，否则 Kibana 的 Discover 页面看不到。
• 索引模式改变时：如果你的业务日志索引名变了（比如从 shihao-logs-* 改成 app-logs-*），才需要更新或新建 Data View。

2. 监控日志（.monitoring-*）为什么不用管？

Kibana 的监控功能（Cluster overview → Logs）是 Elastic 官方预设的，已经内置了对 .monitoring-elasticsearch-*、.monitoring-logstash-*、.monitoring-kibana-* 等索引的支持：

• 这些索引的命名规则是固定的（module name + 版本 + 日期）；
• Kibana 会自动扫描并关联这些索引，不需要你手动在 Data Views 中添加。

3. 结论：你改配置后，完全不用碰 Data Views

无论是修改 Filebeat 模块路径、output 配置，还是重启组件，只要监控日志能正常写入 .monitoring-* 索引：

• Kibana 监控页面会自动读取最新数据，无需任何 Data View 操作；
• 唯一需要调整的是 Kibana 右上角的时间范围（确保包含日志的 @timestamp）。

简单说：监控日志靠 Kibana 自动识别，业务日志才需要手动维护 Data View。你之前的问题和 Data View 无关，主要是时间范围没对齐或日志没正确写入索引～