Ich möchte Elasticsearch einen Tag vor dem aktuellen Datum in Logstash mithilfe des Elasticsearch-Eingabe-Plugins nach einem Index abfragen.
Ich habe die folgende Konfiguration für logstash versucht:
input {
elasticsearch
{
hosts => ["localhost:9200"]
index => "logstash-%{+YYYY.MM.dd-6}"
query => '{ "query": { "query_string": { "query": "*" } } }'
size => 500
scroll => "5m"
docinfo => true
}
}
output { stdout { codec => rubydebug }
}
Kann mir jemand helfen, wie es geht?
Sie können den Datums-Mathe-Indexnamen in Ihrer elastischen Suchabfrage verwenden.
Mit der Namensauflösung für den mathematischen Datumsindex können Sie eine Reihe von Zeitreihenindizes durchsuchen, anstatt alle Ihre Zeitreihenindizes zu durchsuchen und die Ergebnisse zu filtern oder Aliase zu verwalten. Durch die Begrenzung der Anzahl der durchsuchten Indizes wird die Belastung des Clusters verringert und die Ausführungsleistung verbessert. Wenn Sie beispielsweise in Ihren täglichen Protokollen nach Fehlern suchen, können Sie eine Datumsberechnungsvorlage verwenden, um die Suche auf die letzten zwei Tage zu beschränken.
Fast alle APIs mit einem Indexparameter unterstützen die Datumsberechnung im Indexparameterwert.
Zum Beispiel, um nach Indizes für gestern zu suchen, vorausgesetzt, der Index verwendet das Standardformat für den Logstash-Indexnamen. logstash-YYYY.MM.dd
GET /<logstash-{now/d-1d}>/_search
Dieser Artikel stammt aus dem Internet. Bitte geben Sie beim Nachdruck die Quelle an.
Bei Verstößen wenden Sie sich bitte [email protected] Löschen.
Lass mich ein paar Worte sagen