Elasticsearch delete debug syslog消息早于x天且具有特定期限

Question

我试图在一段时间后清除debug syslog消息。查询正在运行，没有错误，但没有删除任何数据：

curl -XPOST 'localhost:9200/logstash-syslog-vmware/_delete_by_query?pretty' -H 'Content-Type: application/json' -d '
{
    "query": {
        "bool" : { 
            "must" : {
                "match" : {
                    "syslog_severity" : "debug" }
                }, 
            "filter" : { 
                "range" : {
                    "@timestamp" : { 
                        "gt" : "2017-10-13T09:00:00", 
                        "lt" : "2017-10-13T11:30:00"
                    }
                }
            }
        }
    }
}'

Answer 1

根据评论(使用通配符)，答案并不是已经解决的，但让我说点什么。

如果你打算每天清除调试级别的旧文档，那么我建议使用不同的索引：

一个用于trace、debug级别，另一个用于其他级别。然后，当您需要清除旧数据时，只需删除索引，如DELETE logstash-syslog-vmware-debug-2017-10-13。

这样效率会高得多。

如果这只是一次操作，那么请不要理我:)