Извлечение из ElasticSearch по типу последних 7 дней

Question

У меня разные журналы в elasticsearch 2.2 отдельно от «type». Как удалить все данные, только один из типов, старше одной недели? благодаря

Пример бревен:

{ 
 
    "_index": "logstash-2016.02.23", 
 
    "_type": "dns_ns", 
 
    "_id": "AVMOj--RqgDl5Axva2Nt", 
 
    "_score": 1, 
 
    "_source": { 
 
    "@version": "1", 
 
    "@timestamp": "2016-02-23T14:37:07.029Z", 
 
    "type": "dns_ns", 
 
    "host": "11.11.11.11", 
 
    "clientip": "22.22.22.22", 
 
    "queryname": "api.bing.com", 
 
    "zonetype": "Public_zones", 
 
    "querytype": "A", 
 
    "querytype2": "+ED", 
 
    "dnsip": "33.33.33.33" 
 
    }, 
 
    "fields": { 
 
    "@timestamp": [ 
 
     1456238227029 
 
    ] 
 
    } 
 
}

Answer 1

См here или here о том, как удалить с помощью запроса. В Elasticsearch 2. * вы можете найти полезное значение Delete by Query plugin.

Answer 2

Удаление «типов» больше не поддерживается в ES 2.x. Лучше планировать индексы проката, так что удаление индексов старше 7 дней становится очень простым.

Возьмите пример logstash, он создает индекс для каждого дня. Затем вы можете создать псевдоним для logstash, чтобы он запрашивал все индексы. А потом, когда приходит время, чтобы удалить старые данные, вы можете просто удалить весь индекс с:

DELETE logstash-2015-12-16