你能帮我吗?我想使用logstash + elasticsearch + kibana来Map用户友好的日志。请解释一下。我不明白elasticsearch在哪里存储数据(例如我的日志),以及我如何旋转它?
igetnqfo1#
Elasticsearch以一种你不能在Elasticsearch API之外修改的方式存储它的数据。从logstash进入的数据通常进入一个日期戳索引(即logstash-%{+YYYY.MM.dd})。您可以使用Elasticsearch Curator让它删除超过特定天数的索引。文件显示此范例:
logstash-%{+YYYY.MM.dd}
curator --host localhost delete indices --older-than 30 --time-unit days --timestring '%Y.%m.%d'
对于版本为5.7.6的curoator,您应该使用 Singleton Command Line Interface 模式运行命令,如下所示:
curoator
curator_cli --host elasticsearch delete_indices --filter_list '{"filtertype":"age","source":"name","direction": "older","timestring":"%Y.%m.%d","unit":"days","unit_ count":30}'
参考:https://www.elastic.co/guide/en/elasticsearch/client/curator/5.7/singleton-cli.html它将连接到当前节点上的Elasticsearch并删除任何超过30天的索引。
dgenwo3n2#
您的日志应存储在
PATH_TO_UNZIPPED_ES/elasticsearch/logs/*
参考:http://www.elastic.co/guide/en/elasticsearch/guide/master/logging.htmlES数据存储在相同的路径下,但在/data目录中。
2条答案
按热度按时间igetnqfo1#
Elasticsearch以一种你不能在Elasticsearch API之外修改的方式存储它的数据。从logstash进入的数据通常进入一个日期戳索引(即
logstash-%{+YYYY.MM.dd})。您可以使用Elasticsearch Curator让它删除超过特定天数的索引。文件显示此范例:
对于版本为5.7.6的
curoator,您应该使用 Singleton Command Line Interface 模式运行命令,如下所示:参考:https://www.elastic.co/guide/en/elasticsearch/client/curator/5.7/singleton-cli.html
它将连接到当前节点上的Elasticsearch并删除任何超过30天的索引。
dgenwo3n2#
您的日志应存储在
参考:http://www.elastic.co/guide/en/elasticsearch/guide/master/logging.html
ES数据存储在相同的路径下,但在/data目录中。