1. 首页
  2. 问答
  3. 馆长没有找到我的索引

馆长没有找到我的索引

2017-03-16 86 views
0

想有馆长清理我有一个名为“系统日志”馆长没有找到我的索引

我有这个动作阳明海运指数:

actions: 
    1: 
    action: delete_indices 
    description: >- 
     Delete indices older than hour 
    options: 
     ignore_empty_list: True 
     timeout_override: 
     continue_if_exception: False 
     disable_action: False 
    filters: 
    - filtertype: pattern 
     kind: prefix 
     value: syslog 
     exclude: 
    - filtertype: age 
     source: name 
     direction: older 
     timestring: '%Y.%m.%d' 
     unit: hours 
     unit_count: 1 
     exclude:

我都尝试“时间”和“天”,但从馆长保持我得到这个消息:

Skipping action "delete_indices" due to empty list: <class 'curator.exceptions.NoIndices'>

来源

2017-03-16 red888

回答

2

你告诉你希望它能够发现的syslog前缀价值指数,也有在索引名Year.Month.Day TIMESTRING馆长。例如,如果索引名称为syslog-2017.03.14,这将匹配。但是,如果索引的名称仅为syslog,则此过滤器集不匹配。

也许你想抓住相对于索引创建时的索引年龄。在这种情况下,你设置

actions: 
    1: 
    action: delete_indices 
    description: >- 
     Delete indices older than hour 
    options: 
     ignore_empty_list: True 
     timeout_override: 
     continue_if_exception: False 
     disable_action: False 
    filters: 
    - filtertype: pattern 
     kind: regex 
     value: '^syslog$' 
    - filtertype: age 
     source: creation_date 
     direction: older 
     unit: hours 
     unit_count: 1

这将匹配命名为syslog,其creation_date指数比执行时间早至少一个小时。

来源

2017-03-17 02:27:59 untergeek

+0

在名称而不是creation_date上匹配是否有优势? creation_date是服务器本地还是属于该索引的属性?就像索引被移动到另一台服务器那样,该属性会保留下来吗? – red888

+1

“匹配名称而不是'creation_date'是否有优势?”并非如此,但如果您尝试提取旧数据,名称是确保您拥有正确时间范围的更好方法。 “服务器本地是'creation_date'吗?”不,它是纪元时间,加上毫秒,它始终是UTC。 – untergeek

+0

我的意思是,附加到事件对象的creation_date属性或者是由服务器计算的值。 – red888

相关问题

 相关问题