elasticsearch 如何清理过期的数据

最新推荐文章于 2024-05-13 11:43:53 发布
最新推荐文章于 2024-05-13 11:43:53 发布
阅读量9.6k 收藏 26
点赞数 5
文章标签: elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y_zilong/article/details/121499412
版权

使用elasticsearch收集日志进行处理,时间久了,很老的数据就没用了并且占用很大的磁盘,这个时候就要对过期数据进行清理

删除elasticsearch数据分为两种:一种是删除索引(数据和表结构同时删除,作用同sql server 中 drop table "表格名"),另一种是删除数据(不删除表结构,作用同 sql server中delete 语句)

1、删除索引

#查询索引
[root@ecloud-elk-05 opt]# curl -u zhanghao:mima -XGET 'http://10.56.0.103:9200/_cat/indices' 
green  open bizlog-2021.09.11                             pHsgvR7JQhmgMIBX24zhJg  1 1  25506896  2480707   44.3gb   22.1gb
green  open bizlog-2021.10.01                             noexo6r6Qe61qxmB30YzBQ  1 1  17382250  1859034   26.3gb   13.1gb
green  open bizlog-2021.09.12                             oYy6PpJERKatZnbhVJ6ZyA  1 1  19184655  1839037   33.1gb   16.5gb
green  open bizlog-2021.09.13                             w2LY5073QGy1I7r_9j1qag  1 1  29137518  2598039     49gb   24.5gb
green  open deliver-2021.11.21                            iNezTH7ISHmTt_dG3SdIvg 10 1     20071        0    7.9mb    3.9mb

#查询索引的列表
[root@ecloud-elk-05 opt]# curl -u zhanghao:mima -XGET 'http://10.56.0.103:9200/_cat/indices' |awk '{print $3}' | awk -F'-' '{print $1}' |sort |uniq -c
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 45633  100 45633    0     0  41564      0  0:00:01  0:00:01 --:--:-- 41597
     46 api_nginx_log
      2 .apm
      1 .async
    107 bizlog
     68 ctlog
     71 deliver
      1 .kibana_1
      1 .kibana_task_manager_1
      1 redis
      1 .reporting
      1 .security
     71 zmms_system

#清理索引
[root@ecloud-elk-05 0]# curl -XDELETE -u zhanghao:mima http://10.56.0.103:9200/ctlog-2021.09.02
{"acknowledged":true}[root@ecloud-elk-05 0]#

清理索引的脚本一

[root@ecloud-elk-05 opt]# cat delete_es.sh 
#********************************************************************
#Author:		    yzl
#QQ: 			    calm_yzl@163.com
#Date: 			    2021-11-23
#FileName:		    es_index_clear.sh
#URL: 			    yzil.cn
#Description:		The test script
#Copyright (C): 	2021 All rights reserved
#********************************************************************

username=zhanghao
passwd=mima
ruikaecs='10.56.0.103'

datemask=$(date -d "-30 day" '+%Y-%m-%d')
index_list=(api_nginx_log bizlog ctlog deliver zmms_system)
for indexname in ${index_list[@]};do
  echo "`date '+%Y%m%d-%H%M%S'`clean index data:${indexname}-${datemask}"
  curl -XDELETE -u ${username}:${passwd} "http://$ruikaecs:9200/${indexname}-${datemask}"
  echo "done"
done

 清理索引的脚本二

#Author:		    yzl
#QQ: 			    calm_yzl@163.com
#Date: 			    2021-11-23
#FileName:		    es_index_clear.sh
#URL: 			    yzil.cn
#Description:		The test script
#Copyright (C): 	2021 All rights reserved
#********************************************************************

# 需要清理几天以前的索引日志
CLEAN_DAY=30

# 获取N天以前的年月日
YEAR=$(date -d "$(date -I) -$CLEAN_DAY"day"" +%Y)
MONTH=$(date -d "$(date -I) -$CLEAN_DAY"day"" +%m)
DAY=$(date -d "$(date -I) -$CLEAN_DAY"day"" +%d)

# 获取需要过滤N天前的ES索引数据
DATA=`curl -s http://zhanghao:mima@10.56.0.103:9200/_cat/indices?v \
|awk '/[0-9]{4}.[0-9]{2}.[0-9]{2}/{print $3}' |awk -F[-.] '{s2=mktime($(NF-2)" "$(NF-1)" "$NF" 0 0 0");\
s1=systime()}{if(s1-s2 >= 86400*"'$CLEAN_DAY'") print $0}'`

echo "即将清理"$YEAR'-'$MONTH'-'$DAY"前ES索引数据>>>>>>>>"
echo "清理数据为: "$DATA 

# 执行清理工作
for i in $DATA
    do
    sleep 1
    #curl -XDELETE -u zhanghao:mima http://10.56.0.103:9200/$i
done

echo "=======================" 
echo    "执行完成"
echo "======================="

2、使用官网 delete_by_query进行删除

curl -u 用户名:密码  -H'Content-Type:application/json' -d'{
    "query": {
        "range": {
            "@timestamp": {
                "lt": "now-7d",
                "format": "epoch_millis"
            }
        }
    }
}
' -XPOST "http://127.0.0.1:9200/*-*/_delete_by_query?pretty"

-u是格式为userName:password,使用Basic Auth进行登录。如果elasticsearch没有使用类似x-pack进行安全登录,则不需要加-u参数
-H是指定文档类型是json格式
-XPOST是指定用POST方式请求
-d是指定body内容

{
    "query": {
        "range": { //范围
            "@timestamp": {//时间字段
                "lt": "now-7d",//lt是小于(<),lte是小于等于(<=),gt是大于(>),gte是大于等于(>=),now-7d是当前时间减7天
                "format": "epoch_millis"
            }
        }
    }
}

定时删除

$ crontab -e

* 0 * * * /usr/bin/curl -u username:password  -H'Content-Type:application/json' -d'{"query":{"range":{"@timestamp":{"lt":"now-7d","format":"epoch_millis"}}}}' -XPOST "http://127.0.0.1:9200/*-*/_delete_by_query?pretty" > /tmp/elk_clean.txt

每天0点删除超过7天的无效索引

优点:

不依赖第三方插件或者代码

简单易理解

不需要指定索引名称可用*通配符删除

缺点:

效率低

常见命令

查看索引列表
curl -k https://your_username:your_password@10.124.10.27:9200/_cat/indices?v

查询集群是否健康
curl -k https://your_username:your_password@10.124.10.27:9200/_cluster/health

查看所有shard
curl -k https://your_username:your_password@10.124.10.27:9200/_cat/shards

启动命令
/usr/local/elasticsearch/bin/elasticsearch -d

y_zilong
关注
  • 5
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
自动清理 ES 历史数据
weixin_44770684的博客
05-26 4479
另一个是关键的定时任务,用于删除ES历史数据。随着业务的增长和时间的变化,ES 数据库的存储空间越来越大,存储数据多数为系统监控日志,保存的数据不需要长期保留,多数情况只需要保留几个月ES数据即可,既可以减轻ES服务器的负载和资源使用率,还可以节约更多的存储空间。curl -X DELETE 删除ES索引是没有详细日志的,所以需要在删除前执行 curl -X GET 获取删除前索引信息,一旦出现异常就可以更好判断当次定时任务实际删除了那些内容,实际上是否成功按照保留天数执行了。3、查看创建好的定时任务。
ElasticSearch生命周期定期清理过期
劉煥平CHN
08-17 2396
Elasticsearch(以下简称ES)是一个强大的分布式搜索和分析引擎,可以用于存储和分析各种类型的数据,包括日志数据ES的索引(index)可以存储日志数据,并且可以设置生命周期策略来清理过期的日志数据。另外,ES的版本可能会对一些操作和配置有所不同,建议查阅你使用的ES版本的官方文档以获取详细信息。请注意,以下示例是一个简化的版本,实际使用时需要根据你的环境和需求进行适当的调整。上述代码创建了一个索引模板,指定了索引的结构和字段映射,并将生命周期策略与模板关联。
go实现es数据清理工具
最新发布
sre救赎之路
05-13 711
这里的Data是包含了ES服务地址等信息,我们后面会给出Data的数据结构。可以看到索引数据都是以日期结尾,我们可以根据日期去匹配索引数据,并对索引进行删除。这里需要考虑一点,有的Es服务开启了索引保护机制,不能通过。我们根据当前时间-保留天数,获取当前需要删除的日期数据。4、工具友好性,我们可以通过配置文件配置ES服务地址、日期格式化类型、保留天数等信息。3、通过字符串匹配,判断索引中是否包含要删除的日期,如果包含则进行删除。要获取Es服务中全部索引数据,我们首先连接Es服务器,这里我们使用。
ElasticSearch删除索引中的数据(delete_by_query)
热门推荐
IT之一小佬的博客
04-17 1万+
ElasticSearch删除索引中的数据(delete_by_query)
Elasticsearch -删除索引(index)
loveLifeLoveCoding的博客
09-12 1933
这个设置使删除只限于特定名称指向的数据, 而不允许通过指定 _all 或通配符来删除指定索引库。
elasticsearch 清空数据接口
sayyy的专栏
01-19 554
Elasticsearch索引自动化分片、过期删除、节点漂移
u012452483的博客
09-03 483
配置索引生命周期管理 (ILM) 策略,以根据集群的性能、弹性和保留要求自动管理索引。例如,可以使用 ILM 来:当索引达到一定大小或文档数量时启动新索引每天、每周或每月创建一个新索引并归档以前的索引删除过时的索引以执行数据保留标准可以通过 Kibana Management(引导页面) 或 ILM API(接口) 创建和管理索引生命周期策略。
elasticsearch 怎么删除过期数据
JasonLee实时计算
06-19 6531
使用elasticsearch收集日志进行处理,时间久了,很老的数据就没用了或者用途不是很大,这个时候就要对过期数据进行清理.但是es5.0之后就不支持ttl,那怎么办呢? 1,请使用官方的工具elasticsearch-curator 2,使用delete-by-query方法删除特定时间范围的数据 第一种这里不再介绍了,直接看官网吧,主要说下第二种 语法格式如下: POST twi...
Nodejs实现自动清理elasticsearch过期索引(日志清理)
02-17
总结,使用Node.js实现Elasticsearch过期索引的自动清理是一项实用的技术,它可以帮助我们有效地管理日志数据,保持系统的高效运行。在实践中,结合具体的业务场景,灵活调整清理策略和频率,确保数据安全的同时,...
elasticsearch-7.8.0.rar
07-22
- **索引生命周期管理**:自动执行索引策略,如过期数据清理,简化了数据管理流程。 **Linux 版本安装与配置** 1. 解压 `elasticsearch-7.8.0-linux-x86_64.tar.gz` 文件到指定目录。 2. 配置 `config/elastic...
shell脚本批量删除es索引的方法
09-15
在IT行业中,Elasticsearch(简称ES)是一个广泛使用的分布式搜索引擎,它提供了高效的数据存储、检索和分析功能。然而,随着时间的推移,系统中可能会积累大量的旧索引,这可能导致资源浪费,甚至影响到集群的性能...
report日志清理.zip
11-11
- 许多IT环境使用中央日志管理系统,如Splunk、Logstash和ELK Stack(Elasticsearch、Logstash、Kibana),它们可以帮助收集、分析和清理日志。 - 这些工具提供更高级的功能,如实时监控、报警和智能分析,同时...
Laravel开发-laravel-auditing-es
08-28
1. **索引管理**:定期清理旧的审计记录以优化存储空间,可以设置索引生命周期策略,让 ElasticSearch 自动处理过期数据。 2. **安全性**:确保 ElasticSearch 配置了合适的访问控制,避免敏感数据泄露。 3. **...
定时删除es中的数据
weixin_42348946的博客
08-31 5991
定时删除es中的数据 根据时间字段删除时间之前的数据 #!/bin/sh # example: sh delete_es_by_day.sh indexname datefield 3 index_name=$1 daycolumn=$2 savedays=$3 format_day=$4 if [ ! -n "$savedays" ]; then echo "the args is n...
细说Mmongo ES 数据过期机制
小石头记
09-22 2238
数据过期在redis上非常容易实现,mongo中可使用TTL索引实现类似的功能。
Elasticsearch专栏 13】深入探索:Elasticsearch使用Curator工具删除Elasticsearch中的历史数据
weixin_40736233的博客
02-24 1327
使用Curator工具可以有效管理Elasticsearch中的旧数据,通过编写YAML配置文件定义删除操作。配置中指定了基于索引名称前缀和年龄的过滤器,确保仅删除符合条件的旧索引。执行删除操作时,Curator会应用过滤器识别目标索引,并向Elasticsearch发送删除请求。通过设置选项,如忽略空列表和超时时间,可以确保操作的灵活性和稳定性。使用Curator不仅释放了存储空间,还提高了查询性能,是维护Elasticsearch健康的重要工具
Go语言Elasticsearch数据清理工具
July_whj
10-08 838
Go语言Elasticsearch数据清理工具 微服务架构中收集通常大家都采用ELK进行日志收集,同时我们还采用了SkyWalking进行链路跟踪,而SkyWalking数据存储也用到了ES,SkyWalking每天产生大量的索引数据,如下: WX20211008-104751@2x 这里一天大概产生了700左右个索引数据。对历史的链路数据我们不做过多的保留。 这里我整理了个小工具,可以定期清理es数据。 一、清理思路 可以看到索引数据都是以日期结尾,我们可以根据日期去匹配索引数据,并对
ElasticsearchElasticsearch如何物理删除给定期限的历史数据
九师兄
10-25 1498
转载:https://blog.csdn.net/laoyang360/article/details/80038930主要目的:规划和管理ES的索引。支持常见操作:创建、删除、合并、reindex、快照等操作。
ES待解决问题
HelloKitty520123的专栏
06-19 152
1. 中文分词 2. 删除过期数据 3. logstash丢数据 4. 搭建es集群
清理ElasticSearch所有数据
05-25
如果你想清除 Elasticsearch 中的所有数据,可以使用以下命令: ``` curl -X DELETE 'http://localhost:9200/*' ``` 这将删除 Elasticsearch 中的所有索引和相关数据。请注意,这是不可逆的操作,因此请谨慎使用。建议在执行此命令之前备份所有数据
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

y_zilong

一分钱的肯定

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值