Database 使日志相对于时间戳而不是索引时间（系统时间）过期

我使用弹性搜索，每个索引有一个TTL，我每天有一个索引

现在的问题是：我让我的日志在索引后过期，比如1天（我在default.json中指定），但我想要的是日志应该相对于日志的时间戳（我解析并用它替换时间戳）而不是日志被索引的时间过期

我该怎么做？ 需要专家帮助

---

谢谢

我认为您可以通过启用并在映射中将其路径配置为指向文档中的字段来实现。这将是映射：

{
    "tweet" : {
        "_timestamp" : {
            "enabled" : true,
            "path" : "post_date"
        }
    }
}

---

我自己还没有试过，但理论上它应该会起作用，试一下，让我知道它是怎么回事

如何指定路径？我在logstash导出中的字段中有时间戳。。。。我是否需要路径：“@fields:ts”，其中ts是一个包含时间的字段。当我简单地使用“path”：“ts”或“path”：“@fields:ts”时，我得到的错误是：无法解析文档以提取时间戳，这似乎是正确的方法。查看日志文件，看看解析错误到底是什么。我的时间戳的格式是2009-11-15T14:12:12.699Z。也许这会造成一个问题……当我使用“路径”：“@timestamp”时，它应该能正常工作ryt？你能给我你的邮件id吗？我想你是唯一一个可以帮我做ES:P的人