Logging TTL弹性搜索不工作_Logging_<img Src="//i.stack.imgur.com/RUiNP.png" Height="16" Width="18" Alt="" Class="sponsor Tag Img">elasticsearch_Ttl_Logstash

Logging TTL弹性搜索不工作

logging logstash

Logging TTL弹性搜索不工作,logging,elasticsearch,ttl,logstash,Logging,elasticsearch,Ttl,Logstash,我需要用从logstash导出的每个日志放一个TTL 我已经在config文件夹下创建了一个文件夹“mappings”，在该文件夹下我有一个文件夹_default，在该文件夹下我有一个json文件default.json，它有： { "_default_" : { "_ttl" : { "enabled" : true, "default" : "10s" } } } 我正在使用logstash将日志导出到elastic服务器。配置文件是： input { st

我需要用从logstash导出的每个日志放一个TTL

我已经在config文件夹下创建了一个文件夹“mappings”，在该文件夹下我有一个文件夹_default，在该文件夹下我有一个json文件default.json，它有：

{
    "_default_" : {
        "_ttl" : { "enabled" : true, "default" : "10s" }
    }
}

我正在使用logstash将日志导出到elastic服务器。配置文件是：

input {
stdin {
    type => "stdin-type"
  }
}
filter {

  grok {
    type => "stdin-type"
    pattern => "I am %{USERNAME:username}"
add_tag=>"{username}"
  }

}
output {
  stdout { debug => true debug_format => "json"}
  elasticsearch
{
}
}

我应该期望日志在10秒后从弹性搜索中删除，但事实并非如此。日志仍然存在。我哪里做错了？我完全卡住了

需要帮助。

好家伙，开始工作吧。只是必须改变

MESSAGE %{DATA}ERR_SYSTEM%{DATA}

到

使用模板：


{
“模板1”：
{
“模板”：“logstash-*”，
“设置”：{
“碎片的数量”：5，
“复制副本的数量”：1，
“index.cache.field.type”：“soft”，
“索引刷新间隔”：“5s”，
“index.store.compress.stored”：true，
“索引”：{
“存储”：{“压缩”：{“存储”：真}
}
},
“映射”：{
“nginxlog”：{
“_ttl”：{“enabled”：true，“default”：“1m”}，
“财产”：{
“@timestamp”：{“type”：“date”，“format”：“dateOptionalTime”}
}
}
}
}
}

设置1分钟，一分钟后自动删除

MESSAGE %{DATA}ERR_SYSTEM.*