我处理几个使用logstash处理的日志文件。我把它们分成几个文件(多行),然后我提取我想要的信息。
问题是我最终发现自己有几个文件,我没有什么有趣的东西,这会占用我的空间。
您是否知道如何删除logstash没有提取信息的文档?
非常感谢你的帮助!
答案 0 :(得分:0)
在ElasticSearch的较低版本中,在创建索引时,您可以指定一个ttl字段,指示索引中文档的过期。您可以将ttl设置为24小时的值。 Read more here
然而,从版本2.0开始,ttl已被弃用,因为它是一种删除陈旧数据的笨拙方式,个人而言,我使用logstash创建滚动索引,并且有一个cron作业,只需通过curl降低日常索引。
另请参阅ES
中的这篇文章https://www.elastic.co/guide/en/elasticsearch/guide/current/retiring-data.html