Logstash 日志存储的日志旋转脚本,用于清除超过两周的日志
我正试图想出一个最好的方法来清除日志存储服务器中超过两周的日志 对于那些不知道的人,Logstash将其日志存储在Elasticsearch中。我工作的地方有一个非常稳定的麋鹿群(Elasticsearch/Logstash/Kibana) 删除logstash索引的典型方法是使用如下curl命令:Logstash 日志存储的日志旋转脚本,用于清除超过两周的日志,logstash,Logstash,我正试图想出一个最好的方法来清除日志存储服务器中超过两周的日志 对于那些不知道的人,Logstash将其日志存储在Elasticsearch中。我工作的地方有一个非常稳定的麋鹿群(Elasticsearch/Logstash/Kibana) 删除logstash索引的典型方法是使用如下curl命令: #curl --user admin -XDELETE http://localhost:9200/logstash-2015.06.06 Enter host password for user
#curl --user admin -XDELETE http://localhost:9200/logstash-2015.06.06
Enter host password for user 'admin':
{"acknowledged":true}
[root@logs:~] #curator --help | grep -i auth
--http_auth TEXT Use Basic Authentication ex: user:pass
[root@logs:~] #curator delete indices --older-than 14 --time-unit days --timestring %Y.%m.%d --regex '^logstash-' --http_auth admin:secretsauce
Error: no such option: --http_auth
[root@logs:~] #curator delete indices --older-than 14 --time-unit days --timestring %Y.%m.%d --regex '^logstash-' --http_auth admin:secretsauce
Error: no such option: --http_auth
[root@logs:~] #curator delete indices --http_auth admin:secretsauce --older-than 14 --time-unit days --timestring %Y.%m.%d --regex '^logstash-'
Error: no such option: --http_auth
curator delete indices --older-than 14 --time-unit days --timestring %Y.%m.%d --regex '^logstash-'
$ curator --help
Usage: curator [OPTIONS] COMMAND [ARGS]...
Curator for Elasticsearch indices.
See http://elastic.co/guide/en/elasticsearch/client/curator/current
如果策展人出于这样或那样的原因不为您工作,您可以运行以下bash脚本:
#!/bin/bash
: ${2?"Usage: $0 [number of days] [base url of elastic]"}
days=${1}
baseURL=${2}
curl "${baseURL}/_cat/indices?v&h=i" | grep logstash | sort --key=1 | awk -v n=${days} '{if(NR>n) print a[NR%n]; a[NR%n]=$0}' | awk -v baseURL="$baseURL" '{printf "curl -XDELETE '\''%s/%s'\''\n", baseURL, $1}' | while read x ; do eval $x ; done
ElasticSearch X-Pack允许您设置策略,根据年龄自动删除索引。这是一个相当复杂的解决方案,并支付: 策展人似乎维护得很好,支持ElasticSearch的最新版本,做你想做的事 或者,这里有一个BASH脚本。但是,由于我使用了非POSIX
date-ud #!/usr/bin/env bash
elasticsearchURL="http://localhost:9200"
date_format="%Y.%m.%d"
today_seconds=$(date +"%s")
let seconds_per_day=24*60*60
let delay_seconds=$seconds_per_day*7
let cutoff_seconds=$today_seconds-$delay_seconds
cutoff_date=$(date -ud "@$cutoff_seconds" +"$date_format")
indices=$(curl -XGET "${elasticsearchURL}/_cat/indices" | cut -d ' ' -f 3 | grep -P "\d{4}\.\d{2}\.\d{2}")
echo "Deleting indexes created before the cutoff date $cutoff_date."
for index in $indices; do
index_date=$(echo "$index" | grep -P --only-matching "\d{4}\.\d{2}\.\d{2}")
if [[ $index_date < $cutoff_date ]]; then
echo "Deleting old index $index"
curl -XDELETE "${elasticsearchURL}/$index"
echo ""
fi
done
#/usr/bin/env bash
elasticsearchURL=”http://localhost:9200"
日期格式=“%Y.%m.%d”
今天\u秒=$(日期+%s)
让每天的秒数=24*60*60
让延迟秒=每天$seconds\u*7
让截止时间=今天时间-$延迟时间
截止日期=$(日期-ud“@$cutoff\u seconds”+“$date\u格式”)
索引=$(curl-XGET“${elasticsearchURL}/_cat/index”| cut-d'-f3 | grep-P“\d{4}\.\d{2}.\d{2}”)
echo“删除截止日期$cutoff_date之前创建的索引。”
以美元指数表示的指数;做
index_date=$(echo“$index”| grep-P--仅匹配“\d{4}\.\d{2}\.\d{2}”)
如果[$index_date<$cution_date]];然后
echo“删除旧索引$index”
curl-xdelite“${elasticsearchURL}/$index”
回声“”
fi
完成
---
# Remember, leave a key empty if there is no value. None will be a string,
# not a Python "NoneType"
actions:
1:
action: delete_indices
description: >-
Delete indices older than 45 days (based on index name), for logstash-
prefixed indices. Ignore the error if the filter does not result in an
actionable list of indices (ignore_empty_list) and exit cleanly.
options:
ignore_empty_list: True
disable_action: False
filters:
- filtertype: pattern
kind: prefix
value: logstash-
- filtertype: age
source: name
direction: older
timestring: '%Y.%m.%d'
unit: days
unit_count: 14
然后运行调度程序:“C:\Program Files\elasticsearch curator\curator.exe”C:\MyСoolFolder\curatorRotateLogs.yml谢谢Magnus!我感谢你的帮助!但我还有一个问题不适合评论。你能看一下吗?我每天都对弹性材料印象越来越深刻!漂亮的小工具!这确实是一个不同的问题,但我怀疑问题在于
--http\u authcurator--http\u auth。。。删除索引--早于…