在 Filebeat 中设置索引的 max_result_window 需要修改 Elasticsearch 的索引模板。max_result_window 参数定义了在 Elasticsearch 中执行搜索时,最大返回文档的数量。默认情况下,该值为 10000。
答案来着gpt demo:http://124.220.104.235/
要修改该值,可以按照以下步骤操作:
打开 Filebeat 的配置文件。
找到输出部分,其中定义了 Elasticsearch 输出。
在 Elasticsearch 输出配置中,找到索引模板相关的配置。
确保你已经定义了自定义的索引模板(如果没有,请创建一个)。
在索引模板中,设置 max_result_window 参数为你希望的值。
例如,如果你想将 max_result_window 设置为 20000,可以像这样修改索引模板:
output.elasticsearch:
hosts: ["your_elasticsearch_host"]
index: "your_index_name"
setup.template.name: "your_template_name"
setup.template.pattern: "your_template_pattern"
setup.template.overwrite: false
template.overwrite: false
indices:
- index: "your_index_name"
when.regexp:
log.file.path: "your_log_path"
settings:
index:
max_result_window: 20000
请注意,这只是一个示例配置,你需要根据你的实际情况进行调整。
完成修改后,重启 Filebeat 以使更改生效。然后,当 Filebeat 发送日志到 Elasticsearch 时,将使用你设置的 max_result_window 值。
或者
curl -X PUT "http://100.126.255.250:39200/slowlog-fee4369febd54c8180a059b5960b19de-2024.04.24/_settings" -u "账号:密码" -H 'Content-Type: application/json' -d'
{
"settings": {
"index": {
"max_result_window": 50000
}
}
}'