Я не могу понять, как применить эту документацию http://www.elasticsearch.org/guide/reference/mapping/ttl-field/ в логсташ. В частности, я не знаю, какие ключи использовать (вместо «твитнуть» и т. Д.).
Цель состоит в том, чтобы все журналы, отправленные в elasticsearch через тайник журналов, истекали через X дней.
Что-то вроде ниже должно работать, я не тестировал. вам нужно будет заменить indexname на имя ваших файлов конфигурации logstash проверки индекса. Вам также необходимо убедиться, что вы хотите использовать IP-адрес 127.0.0.1. В настоящее время у меня установлено значение 1d, что составляет 1 день, но измените его на то, что вам нравится. чтобы узнать, как редактировать отображение, см. Вот
curl -XPUT http://127.0.0.1:9200/_mapping {"indexname" : {"_ttl" : { "enabled" : true, "default" : "1d" }}}
РЕДАКТИРОВАТЬ: Я не тестировал это, он может работать, он может взорвать сервер на ваш страх и риск.
P.S: поиграйте с elasticsearch, она стала моей любимой базой данных за последние несколько месяцев.