Los índices de Elasticsearch pueden cansarse rápidamente con gigabytes de datos, especialmente si está registrando desde varios servidores muchas veces por segundo. Para establecer datos, Elasticsearch
Aniquilación mediante la API “Eliminar por consulta”
Elasticsearch ofrece una API “Delete By Query”, que eliminará todos los documentos que coincidan con una consulta. Puede usar esto para hacer coincidir marcas de tiempo mayores o menores que una época determinada, aunque de forma un poco burda:
POST indexname/_delete_by_query { "query": { "range" : { "@timestamp" : yyyy" } } }
Sin bloqueo, esta consulta es verdaderamente tranquilo. Escalera linealmente con el tamaño del documento. Si tiene suficientes documentos que necesita rotar para evitar que su instancia de Elasticsearch estalle en llamas, probablemente no pueda eliminar registros de esta forma y necesitará usar índices basados en el tiempo en su oportunidad.
Un método mejor: índices basados en el tiempo
En Elasticsearch, generalmente no usa índices directamente. Sus paneles utilizan patrones de índice, que pueden coincidir con varios índices a la vez. La razón de esto es que los propios índices pueden representar como grupos de datos, como agruparlos por día o por mes.
Es mucho más posible establecer y rotar índices completos, por lo que si tenía cada ingestor configurado para asociar la época coetáneo al nombre del índice,
index: "indexname-%{+yyyy.MM.dd}"
Por supuesto, esto requiere que configure la canalización de ingesta para escribir en el índice diario. Deberá configurar sus registradores para ingerir datos en este formato.
Sin bloqueo, una vez hecho esto, puede crear una nueva Política de ciclo de vida del índice para manejar la transferencia cibernética de datos. Esta opción está habitable en “Trámite de pila” en el panel de Kibana.
Pin it
Puede configurar varias fases de la renovación del índice, pero para este propósito es más posible deshabilitar la renovación y habilitar la período de aniquilación, configurándola para eliminar índices anteriores a X días.
Pin it
Luego, para aplicarlo verdaderamente a una plantilla de índice, deberá inclinarse “Juntar política a plantilla de índice” en “Acciones” en la índice de políticas de ciclo de vida.
Pin it
Seleccione el patrón de índice que desea asociar, y la política debería entrar en vigencia de inmediato, y se eliminarán sus índices anteriores en el patrón.