我正在使用ELK堆栈来分析日志。因此,根据默认配置,ES创建了"logsatash-YYYY-MM-DD"的新索引。
因此,如果我已将logstash配置为如下所示:
/var/log/rsyslog/**/2014-12-0[1-7]/auditd.log
因此,它正在读取旧日志,并且创建的索引名称将为"logstash-2015-03-20",因此该索引将包含以前日期的文档(日志)。
我必须删除索引时出现问题。如果我必须保留最后一周的数据并清除旧指数。当我删除除过去7天之外的索引名称时,我没有跟踪哪些日志保存在哪个索引名称中。例如:2014-12-07日期的日志可以保存在名为logstash-2015-03-19或logstash-2015-03-20的任何索引中。
那么如何删除索引?