filebeat 设置elasticsearch索引的 max_result_window

在 Filebeat 中设置索引的 max_result_window 需要修改 Elasticsearch 的索引模板。max_result_window 参数定义了在 Elasticsearch 中执行搜索时，最大返回文档的数量。默认情况下，该值为 10000。

答案来着gpt demo：http://124.220.104.235/

要修改该值，可以按照以下步骤操作：

打开 Filebeat 的配置文件。

找到输出部分，其中定义了 Elasticsearch 输出。

在 Elasticsearch 输出配置中，找到索引模板相关的配置。

确保你已经定义了自定义的索引模板（如果没有，请创建一个）。

在索引模板中，设置 max_result_window 参数为你希望的值。

例如，如果你想将 max_result_window 设置为 20000，可以像这样修改索引模板：

output.elasticsearch:
  hosts: ["your_elasticsearch_host"]
  index: "your_index_name"
  setup.template.name: "your_template_name"
  setup.template.pattern: "your_template_pattern"
  setup.template.overwrite: false
  template.overwrite: false
  indices:
    - index: "your_index_name"
      when.regexp:
        log.file.path: "your_log_path"
      settings:
        index:
          max_result_window: 20000

请注意，这只是一个示例配置，你需要根据你的实际情况进行调整。

完成修改后，重启 Filebeat 以使更改生效。然后，当 Filebeat 发送日志到 Elasticsearch 时，将使用你设置的 max_result_window 值。

或者

curl -X PUT "http://100.126.255.250:39200/slowlog-fee4369febd54c8180a059b5960b19de-2024.04.24/_settings" -u "账号:密码" -H 'Content-Type: application/json' -d'
{
    "settings": {
        "index": {
            "max_result_window": 50000
        }
    }
}'