elasticsearch 如何清理过期的数据

最新推荐文章于 2024-05-13 11:43:53 发布
最新推荐文章于 2024-05-13 11:43:53 发布
阅读量9.6k 收藏 26
点赞数 5
文章标签: elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y_zilong/article/details/121499412
版权

使用elasticsearch收集日志进行处理,时间久了,很老的数据就没用了并且占用很大的磁盘,这个时候就要对过期数据进行清理

删除elasticsearch数据分为两种:一种是删除索引(数据和表结构同时删除,作用同sql server 中 drop table "表格名"),另一种是删除数据(不删除表结构,作用同 sql server中delete 语句)

1、删除索引

#查询索引
[root@ecloud-elk-05 opt]# curl -u zhanghao:mima -XGET 'http://10.56.0.103:9200/_cat/indices' 
green  open bizlog-2021.09.11                             pHsgvR7JQhmgMIBX24zhJg  1 1  25506896  2480707   44.3gb   22.1gb
green  open bizlog-2021.10.01                             noexo6r6Qe61qxmB30YzBQ  1 1  17382250  1859034   26.3gb   13.1gb
green  open bizlog-2021.09.12                             oYy6PpJERKatZnbhVJ6ZyA  1 1  19184655  1839037   33.1gb   16.5gb
green  open bizlog-2021.09.13                             w2LY5073QGy1I7r_9j1qag  1 1  29137518  2598039     49gb   24.5gb
green  open deliver-2021.11.21                            iNezTH7ISHmTt_dG3SdIvg 10 1     20071        0    7.9mb    3.9mb

#查询索引的列表
[root@ecloud-elk-05 opt]# curl -u zhanghao:mima -XGET 'http://10.56.0.103:9200/_cat/indices' |awk '{print $3}' | awk -F'-' '{print $1}' |sort |uniq -c
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 45633  100 45633    0     0  41564      0  0:00:01  0:00:01 --:--:-- 41597
     46 api_nginx_log
      2 .apm
      1 .async
    107 bizlog
     68 ctlog
     71 deliver
      1 .kibana_1
      1 .kibana_task_manager_1
      1 redis
      1 .reporting
      1 .security
     71 zmms_system

#清理索引
[root@ecloud-elk-05 0]# curl -XDELETE -u zhanghao:mima http://10.56.0.103:9200/ctlog-2021.09.02
{"acknowledged":true}[root@ecloud-elk-05 0]#

清理索引的脚本一

[root@ecloud-elk-05 opt]# cat delete_es.sh 
#********************************************************************
#Author:		    yzl
#QQ: 			    calm_yzl@163.com
#Date: 			    2021-11-23
#FileName:		    es_index_clear.sh
#URL: 			    yzil.cn
#Description:		The test script
#Copyright (C): 	2021 All rights reserved
#********************************************************************

username=zhanghao
passwd=mima
ruikaecs='10.56.0.103'

datemask=$(date -d "-30 day" '+%Y-%m-%d')
index_list=(api_nginx_log bizlog ctlog deliver zmms_system)
for indexname in ${index_list[@]};do
  echo "`date '+%Y%m%d-%H%M%S'`clean index data:${indexname}-${datemask}"
  curl -XDELETE -u ${username}:${passwd} "http://$ruikaecs:9200/${indexname}-${datemask}"
  echo "done"
done

 清理索引的脚本二

#Author:		    yzl
#QQ: 			    calm_yzl@163.com
#Date: 			    2021-11-23
#FileName:		    es_index_clear.sh
#URL: 			    yzil.cn
#Description:		The test script
#Copyright (C): 	2021 All rights reserved
#********************************************************************

# 需要清理几天以前的索引日志
CLEAN_DAY=30

# 获取N天以前的年月日
YEAR=$(date -d "$(date -I) -$CLEAN_DAY"day"" +%Y)
MONTH=$(date -d "$(date -I) -$CLEAN_DAY"day"" +%m)
DAY=$(date -d "$(date -I) -$CLEAN_DAY"day"" +%d)

# 获取需要过滤N天前的ES索引数据
DATA=`curl -s http://zhanghao:mima@10.56.0.103:9200/_cat/indices?v \
|awk '/[0-9]{4}.[0-9]{2}.[0-9]{2}/{print $3}' |awk -F[-.] '{s2=mktime($(NF-2)" "$(NF-1)" "$NF" 0 0 0");\
s1=systime()}{if(s1-s2 >= 86400*"'$CLEAN_DAY'") print $0}'`

echo "即将清理"$YEAR'-'$MONTH'-'$DAY"前ES索引数据>>>>>>>>"
echo "清理数据为: "$DATA 

# 执行清理工作
for i in $DATA
    do
    sleep 1
    #curl -XDELETE -u zhanghao:mima http://10.56.0.103:9200/$i
done

echo "=======================" 
echo    "执行完成"
echo "======================="

2、使用官网 delete_by_query进行删除

curl -u 用户名:密码  -H'Content-Type:application/json' -d'{
    "query": {
        "range": {
            "@timestamp": {
                "lt": "now-7d",
                "format": "epoch_millis"
            }
        }
    }
}
' -XPOST "http://127.0.0.1:9200/*-*/_delete_by_query?pretty"

-u是格式为userName:password,使用Basic Auth进行登录。如果elasticsearch没有使用类似x-pack进行安全登录,则不需要加-u参数
-H是指定文档类型是json格式
-XPOST是指定用POST方式请求
-d是指定body内容

{
    "query": {
        "range": { //范围
            "@timestamp": {//时间字段
                "lt": "now-7d",//lt是小于(<),lte是小于等于(<=),gt是大于(>),gte是大于等于(>=),now-7d是当前时间减7天
                "format": "epoch_millis"
            }
        }
    }
}

定时删除

$ crontab -e

* 0 * * * /usr/bin/curl -u username:password  -H'Content-Type:application/json' -d'{"query":{"range":{"@timestamp":{"lt":"now-7d","format":"epoch_millis"}}}}' -XPOST "http://127.0.0.1:9200/*-*/_delete_by_query?pretty" > /tmp/elk_clean.txt

每天0点删除超过7天的无效索引

优点:

不依赖第三方插件或者代码

简单易理解

不需要指定索引名称可用*通配符删除

缺点:

效率低

常见命令

查看索引列表
curl -k https://your_username:your_password@10.124.10.27:9200/_cat/indices?v

查询集群是否健康
curl -k https://your_username:your_password@10.124.10.27:9200/_cluster/health

查看所有shard
curl -k https://your_username:your_password@10.124.10.27:9200/_cat/shards

启动命令
/usr/local/elasticsearch/bin/elasticsearch -d

y_zilong
关注
  • 5
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
自动清理 ES 历史数据
weixin_44770684的博客
05-26 4479
另一个是关键的定时任务,用于删除ES历史数据。随着业务的增长和时间的变化,ES 数据库的存储空间越来越大,存储数据多数为系统监控日志,保存的数据不需要长期保留,多数情况只需要保留几个月ES数据即可,既可以减轻ES服务器的负载和资源使用率,还可以节约更多的存储空间。curl -X DELETE 删除ES索引是没有详细日志的,所以需要在删除前执行 curl -X GET 获取删除前索引信息,一旦出现异常就可以更好判断当次定时任务实际删除了那些内容,实际上是否成功按照保留天数执行了。3、查看创建好的定时任务。
ElasticSearch生命周期定期清理过期
劉煥平CHN
08-17 2396
Elasticsearch(以下简称ES)是一个强大的分布式搜索和分析引擎,可以用于存储和分析各种类型的数据,包括日志数据ES的索引(index)可以存储日志数据,并且可以设置生命周期策略来清理过期的日志数据。另外,ES的版本可能会对一些操作和配置有所不同,建议查阅你使用的ES版本的官方文档以获取详细信息。请注意,以下示例是一个简化的版本,实际使用时需要根据你的环境和需求进行适当的调整。上述代码创建了一个索引模板,指定了索引的结构和字段映射,并将生命周期策略与模板关联。
go实现es数据清理工具
最新发布
sre救赎之路
05-13 710
这里的Data是包含了ES服务地址等信息,我们后面会给出Data的数据结构。可以看到索引数据都是以日期结尾,我们可以根据日期去匹配索引数据,并对索引进行删除。这里需要考虑一点,有的Es服务开启了索引保护机制,不能通过。我们根据当前时间-保留天数,获取当前需要删除的日期数据。4、工具友好性,我们可以通过配置文件配置ES服务地址、日期格式化类型、保留天数等信息。3、通过字符串匹配,判断索引中是否包含要删除的日期,如果包含则进行删除。要获取Es服务中全部索引数据,我们首先连接Es服务器,这里我们使用。
ElasticSearch删除索引中的数据(delete_by_query)
IT之一小佬的博客
04-17 1万+
ElasticSearch删除索引中的数据(delete_by_query)
1、Elasticsearch日常操作命令
爱欧米
12-03 859
elasticsearch添加字段命令 http://10.7.6.133:9200/vem_orderinfo_index_2020/_mapping/vem_orderinfo_type/ { "vem_orderinfo_type": { "properties": { "newOfficeId": { "type": "keyword" } } } }
EFK之elasticSearch自动清理方案
MarshalEagle的博客
06-20 2445
本方案实现的功能点:输入日志文件、按照指定的日期(天数)清理数据、按照指定的磁盘路径使用率阈值清理数据、清除指定的索引数据,并配合crond实现定时监控和清理索引数据,以确保磁盘空间健康。
Elasticsearch -删除索引(index)
loveLifeLoveCoding的博客
09-12 1933
这个设置使删除只限于特定名称指向的数据, 而不允许通过指定 _all 或通配符来删除指定索引库。
elasticsearch 清空数据接口
sayyy的专栏
01-19 554
Elasticsearch数据删除与恢复
禅与计算机程序设计艺术
01-21 1304
1.背景介绍 1. 背景介绍 Elasticsearch是一个分布式、实时的搜索和分析引擎,它基于Lucene库构建,具有高性能、高可扩展性和高可用性。Elasticsearch可以用于处理大量数据,实现快速搜索和分析。 在实际应用中,我们可能需要对Elasticsearch中的数据进行删除和恢复操作。例如,我们可能需要删除过期或无用的数据,以节省存储空间和提高查询速度;或者,我们可能需要恢...
elasticsearch 怎么删除过期数据
JasonLee实时计算
06-19 6531
使用elasticsearch收集日志进行处理,时间久了,很老的数据就没用了或者用途不是很大,这个时候就要对过期数据进行清理.但是es5.0之后就不支持ttl,那怎么办呢? 1,请使用官方的工具elasticsearch-curator 2,使用delete-by-query方法删除特定时间范围的数据 第一种这里不再介绍了,直接看官网吧,主要说下第二种 语法格式如下: POST twi...
Elasticsearch索引自动化分片、过期删除、节点漂移
u012452483的博客
09-03 483
配置索引生命周期管理 (ILM) 策略,以根据集群的性能、弹性和保留要求自动管理索引。例如,可以使用 ILM 来:当索引达到一定大小或文档数量时启动新索引每天、每周或每月创建一个新索引并归档以前的索引删除过时的索引以执行数据保留标准可以通过 Kibana Management(引导页面) 或 ILM API(接口) 创建和管理索引生命周期策略。
Elasticsearch专栏 12】深入探索:Elasticsearch使用索引生命周期管理(ILM)自动化删除旧数据
weixin_40736233的博客
02-24 1275
Elasticsearch的ILM功能允许用户定义策略,自动管理索引从创建到删除的生命周期。用户可以设置策略,根据索引年龄或大小自动删除旧数据,节省存储空间。通过应用ILM策略于索引模板,新索引将遵循预定义的生命周期。用户还可以监控ILM状态,确保策略按预期执行。使用ILM,用户可以高效地管理数据,确保旧数据及时删除,同时保持数据完整性和安全性。
ES日志索引清除
派大星的不眠博客
02-22 1834
ESELK系统当中起着查询和存储功能,如果不删除ES数据,长时间将会导致ES存储的数据越来越多,磁盘满了之后将无法写入新的数据。这时可以使用脚本定时删除过期数据
定时删除es中的数据
weixin_42348946的博客
08-31 5991
定时删除es中的数据 根据时间字段删除时间之前的数据 #!/bin/sh # example: sh delete_es_by_day.sh indexname datefield 3 index_name=$1 daycolumn=$2 savedays=$3 format_day=$4 if [ ! -n "$savedays" ]; then echo "the args is n...
Elasticsearch数据质量与清洗策略
禅与计算机程序设计艺术
01-25 749
1.背景介绍 1. 背景介绍 Elasticsearch是一个分布式、实时的搜索和分析引擎,它可以处理大量数据并提供快速、准确的搜索结果。在实际应用中,数据质量直接影响了Elasticsearch的性能和准确性。因此,了解Elasticsearch数据质量与清洗策略至关重要。 在本文中,我们将从以下几个方面进行阐述: 核心概念与联系 核心算法原理和具体操作步骤 数学模型公式详细讲解 具...
定时清理elasticsearch索引和数据
linxi7的博客
05-14 2466
业务中由于索引是按照时间自动创建的,所以需要定时任务来清理这些索引和数据 #!/bin/bash clean_log="/data/elk/tools/es_index.log" pre_deltime=5 live_deltime=30 #不同环境索引关键字不一样 pre_indexs=`curl --user test:test123 -s "10.0.0.1:9200/_cat/indices?v" |awk '{print $3}' |grep "pre"` live_indexs=`curl
Elasticsearch专栏 15】深入探索:Elasticsearch使用API删除旧数据
weixin_40736233的博客
02-25 587
使用Elasticsearch的API删除旧数据是一种高效的方法,通过DELETE BY QUERY API可以根据查询条件批量删除文档。在执行删除操作前,需确定合适的删除策略,如基于时间、文档数量或索引的删除。删除时,可以分批次进行以避免对集群造成过大压力,并监控进度以确保操作安全。最佳实践包括备份数据、在测试环境中验证命令、限制带宽、实时监控和告警以及定期执行删除操作。通过合理的策略和实践,可以确保旧数据得到及时删除,优化索引性能。
Elasticsearch中删除数据
热门推荐
IT云清
05-10 4万+
删除文档 想找个删除的api,找不到能用的,只能自己去翻译了。。。。。。 delete API允许从基于其id的特定索引中删除一个JSON文档,下面的示例从twitter中删除类型为_doc的JSON文档,其id为1: DELETE /twitter/_doc/1 上述删除操作的结果为: { &amp;quot;_shards&amp;quot; : { &amp;quot;total&amp;quot; : 2, ...
数据清洗:ElasticSearch数据清洗与处理
禅与计算机程序设计艺术
01-21 440
1.背景介绍 数据清洗是数据处理的一个重要环节,它涉及到数据的去噪、纠正、整理、过滤等过程,以提高数据质量,从而提高数据分析和挖掘的效果。在现代大数据时代,数据清洗的重要性更加尖锐。ElasticSearch是一个强大的搜索引擎,它可以帮助我们实现数据的快速检索和分析。在本文中,我们将讨论ElasticSearch数据清洗与处理的相关知识,并提供一些实际的最佳实践和案例分析。 1. 背景介绍 ...
清理ElasticSearch所有数据
05-25
如果你想清除 Elasticsearch 中的所有数据,可以使用以下命令: ``` curl -X DELETE 'http://localhost:9200/*' ``` 这将删除 Elasticsearch 中的所有索引和相关数据。请注意,这是不可逆的操作,因此请谨慎使用。建议在执行此命令之前备份所有数据
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

y_zilong

一分钱的肯定

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值