我已经收集了几周的日志文件,发现我的弹性数据库中有一个丑陋的文件。我将/var/log/syslog分隔为timestamp, host, log_process, message。现在,所有服务器的木偶代理都在其进程中添加了一个数字,例如
Aug 29 17:33:00 host123 puppet-agent[22742]: (/Stage[main]/...
我更改了过滤器,因此会从所有新日志中删除[22742],但我也想从已处理的日志中删除它。
使用我的搜索GET /logstash-*/_search?q=log_process=puppet-agent\[,我可以找到包含错误格式的所有字段,但我对重新索引和/或(部分)更新感到困惑。我的更新查询如何查看?或者这甚至可能吗?
此致