我将TTL设置为manual,但是弹性搜索文档说TTL时间之前的消息不受影响,我如何强制删除旧消息?
或者可能存在一些方法来删除30天以前的邮件?
答案 0 :(得分:1)
来自我们的评论来回:
我无法访问该文档,因为它是您计算机的本地文档。但是从信息来看,您似乎指的是30天的默认,可能是由graylog2设置的(我确定它不是由Elasticsearch设置的)。
但要回答您的问题:如果您的文档中有时间戳字段,请在该时间戳上执行逐个查询(选择所有超过30天的文档并删除)。 http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/docs-delete-by-query.html。
要保存,请务必先对同一查询进行抓取,而不是删除,以确定您是否确实正确地制定了查询。
如果您的文档没有时间戳,我真的不知道该怎么做。我仍然希望看到Elasticsearch根据TTL删除这些内容的证据/文档。