根据标签查询和分配数据到碎片

Question

我正在运行一个典型的logstash-redis-elasticsearch系统来捕获我所有的日志（约500 GB /天）。据我所知，elasticsearch查询索引中的每个分片并聚合结果，但由于每天的日志量和所需的响应时间，我只想查询哪些分片当然应该根据信息。所以我正在寻找一种基于某些标签将数据分配给分片并基于标签查询相关分片的方法。有关如何实现这一目标的任何线索，参考或解决方案？

我已经看过shard allocation filtering但这不符合这个特定的要求。

Answer 1

路由是去这里的路。

指定路径选项时索引会导致文档在特定分片上路由。见routing in index API。

您还可以从字段中提取路由值。见routing field。

不要忘记用相同的路由值进行搜索。请参阅routing option in search。