ELK学习笔记之Elasticsearch删除指定日期的数据（脚本+定时任务）

0x00 概述

目前使用的ES版本为6.3.x，经过长时间的积累，ES内数据越来越多，需要删除指定日志之前的日志。

例如只要求保留60天的日志，那么就要删除60天之前的所有索引和日志。

0x01 ES删除XX天之前的索引和数据

#!/bin/sh
# ES版本为6.3.x

function delIndex()
{
        #此处输入要删除的索引名字，例如要删除filebeat-xxx索引的日志，此处要输入‘filebeat-’
        index_name=$1
        # 此处输入要数据保留的天数，例如要保留最近60天的数据，此处要输入60
        savedays=$2
        # $3变量也是天数，例如你要保留60天的数据，此处输入90，就是会删除第60到90天这段时间的数据，60<=90
        while [ $savedays -le $3 ]
        do
                # 此处是es内索引的日期格式，有的是2019.11.26，有的是2019-11-26
                format_day='%Y.%m.%d'
                #format_day='%Y-%m-%d'

                #此处通过date命令组成索引的时间戳部分，例如2019.11.26或者2019-11-26
                sevendayago=`date -d "-${savedays} day " +${format_day}`

                #此处组成完整的es数据的索引，数据格式filebeat-2019.11.26或者filebeat-2019-11-26
                index=$index_name$sevendayago
                #echo $sevendayago
                echo $index
                curl -XDELETE "http://127.0.0.1:9200/${index}"
                #exit 0

                #删除完第60天的索引后，开始删除第61天的索引,直到第90天
                savedays=`expr $savedays + 1`
        done
}

# 删除索引前，要关闭索引，然后再删除索引
# 逻辑与上面删除的逻辑一致
function closeIndex()
{
        index_name=$1
        savedays=$2
        while [ $savedays -le $3 ]
        do

                format_day='%Y.%m.%d'
                #format_day='%Y-%m-%d'
                sevendayago=`date -d "-${savedays} day " +${format_day}`
                index=$index_name$sevendayago
                #echo $sevendayago
                echo $index
                curl -XPOST "http://127.0.0.1:9200/${index}/_close?pretty"
                #exit 0
                savedays=`expr $savedays + 1`
        done
}

# 关闭第60天到第90天的索引
closeIndex ‘filebeat-’ 60 90

# 删除第60天到第90天的索引
deleteIndex ‘filebeat-’ 60 90

0x03 总结

可以将上面的shell内容做成脚本，加入crontab定时任务。