我正在尝试使用curl查询字符串命令从graylog / elasticsearch中删除某些日志,但是没有运气。我知道我需要使用-XDELETE删除日志,而我只是要先阅读该日志。
curl -GET'http://localhost:9200/graylog_26/message/_query'-d‘{“query”:{“query_string”:{“query”:“message:password AND identity:cc *”:“{}”}}}}’
错误:
curl -GET'http://localhost:9200/graylog_26/message/_query'-d'{“查询”:{“query_string”:{“查询”:“消息:密码和身份:cc”:“{}”}}}'curl -GET'http://localhost:9200/graylog_26/message/_query'-d '{“query”:{“query_string”:{“query”:“message:password AND identity:cc”:“{}”}}}''{“error”:{“root_cause”:[{“type”: “illegal_argument_exception”,“原因”:“请求[/ graylog_26 / message / _query]包含无法识别的参数:[â€{âqueryqueryâ:: {âqueryquery_stringâ€:{â€queryâ€:消息:密码]“}”,“类型”:“illegal_argument_exception”,“原因”:“请求[/ graylog_26 / message / _query]包含无法识别的参数:[â{{âqueryquery:: { queryquery_stringâ:{âqueryâ��:âmessage:password]“}”状态“:400}
最佳答案
分别删除它们!
您应该检查哪些索引可用和正在使用:
curl http://127.0.0.1:9000/_cat/indices
然后删除最早的索引
注意:请勿全部删除
curl -XDELETE http://127.0.0.1:9000/graylog_1
curl -XDELETE http://127.0.0.1:9000/graylog_2
curl -XDELETE http://127.0.0.1:9000/graylog_3
然后将目录“/etc/graylog/server/server.conf”中的参数“elasticsearch_max_number_of_indices”减小到适合磁盘的值(例如20到10)。
玩得开心。
关于elasticsearch - 从Graylog/Elasticsearch删除日志,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52228637/