我很难找到一个明确的答案:在Elastic Cloud(ELKStack)中删除索引之前的默认保留时间是多少?它可以轻松修改吗?我们最近从本地ELK堆栈迁移到云解决方案。以前我们和馆长一起做这个。
我找到的最后一篇文章是2017年的,说云不支持这一点:https://discuss.elastic.co/t/configure-retention-period-for-different-index/106491这改变了吗?
我通过使用索引生命周期管理(ILM)和索引模板创建翻转来解决这个问题。大多数信息可以在这里找到:https://www.elastic.co/guide/en/elasticsearch/reference/current/indices-rollover-index.html
然而,它的要点是:
创建一个ILM
使用翻转别名创建索引模板:
PUT _template/example-template-name
{
"index_patterns": [
"example-index-*"
],
"settings": {
"index": {
"lifecycle": {
"name": "name-of-lifecycle-created-earlier",
"rollover_alias": "example-index-name"
}
}
}
}
然后创建第一个具有翻转别名别名的索引。我个人使用翻转日期系统,编码URL:
PUT /%3Cexample-index-name-%7Bnow%2Fd%7D-1%3E
{
"aliases": {
"example-index-name": {
"is_write_index" : true
}
}
}
之后,只需写入别名,而不是索引本身。当满足ILM限制时,它将自动分配正确的索引和翻转。
