使用logstash更新/删除现有日志条目
问题描述:
有没有办法告诉logstash从Elasticsearch中删除/更新某些日志条目? Logstash似乎可以索引文件,但我没有找到可以进行更新/删除操作的证据。使用logstash更新/删除现有日志条目
如果可能的话,我们可以想象我们可以在Elasticsearch上“登录”操作并使用Logstash在Elasticsearch中批量输出它们。这样程序员就不必创建一个机制来在Elasticsearch上进行批量操作。
答
一切都是in the docs。
要使用Logstash更新条目,您需要在document_id中提供文档ID,并将文档替换为新内容。
要使用logstash删除文档,请在document_id中提供其id,并将操作字段设置为“delete”。
我怀疑你可以通过设置elasticsearch输出的document_id选项来做到这一点。您显然必须能够为每个日志条目生成唯一且可重复的ID。 –
这个想法很好,并给出了更新日志的方法。但它不能删除日志。 – Heschoon
[在Elasticsearch中导入和更新数据]的可能重复(http://stackoverflow.com/questions/21716002/importing-and-updating-data-in-elasticsearch) –