我想使用Elasticsearch输入插件在Logstash中当前日期的前一天查询Elasticsearch的索引。
我为logstash尝试了以下配置,
input {
elasticsearch
{
hosts => ["localhost:9200"]
index => "logstash-%{+YYYY.MM.dd-6}"
query => '{ "query": { "query_string": { "query": "*" } } }'
size => 500
scroll => "5m"
docinfo => true
}
}
output { stdout { codec => rubydebug }
}
有人可以帮我吗?
答案 0 :(得分:0)
您可以在弹性搜索查询中使用Date math index name
日期数学索引名称解析使您可以搜索以下范围 时间序列索引,而不是搜索所有时间序列 索引并过滤结果或维护别名。限制 搜索的索引数量减少了集群上的负载 并提高执行性能。例如,如果您要搜索 对于日常日志中的错误,可以使用日期数学名称模板 将搜索范围限制在过去两天。
几乎所有具有索引参数的API都在 索引参数值。
例如,假设索引使用默认的Logstash索引名称格式logstash-YYYY.MM.dd
GET /<logstash-{now/d-1d}>/_search