ELK индексация с конкретной даты?

Question

[someday8]

Есть ELK и filebeat, крутился пол года и скопилось много хлама.
Было принято решение грохнуть весь индекс и начать с начала, но после удаления всей даты
DELETE _all, logstash тянет в elastic все те же старые логи полугодичной давности.

Если использовать curator, не будет ли он так же закачивать старые логи, индексировать их и удалять?

Как выставить дату с которой начнется сбор логов?

Куда копать?

Comments

[Алексей Ступеньков]

Откуда logstash берет данные?

[someday8]

Алексей Ступеньков, с множества серевров используя filebeat

Answer 1

[someday8]

Ручное удаление старых файлов filebeat на каждой машине решает эту проблему.