我需要把TTL与每个从logstash出口原木。

我已经创建config文件夹下的文件夹“映射”，其下我有一个文件夹_default下，我有JSON文件默认上传.json，其中有：

{
    "_default_" : {
        "_ttl" : { "enabled" : true, "default" : "10s" }
    }
}

我出口我的日志，弹性服务器logstash。 配置文件是：

input {
stdin {
    type => "stdin-type"
  }
}
filter {

  grok {
    type => "stdin-type"
    pattern => "I am %{USERNAME:username}"
add_tag=>"{username}"
  }

}
output {
  stdout { debug => true debug_format => "json"}
  elasticsearch
{
}
}

我应该预料到的日志中获取的由弹性搜寻10秒后删除，但事实并非如此。 日志仍然存在。 我要去哪里错了？ 我完全卡住。

需要帮忙。

精细的家伙，得到它的工作。 只是不得不改变

MESSAGE %{DATA}ERR_SYSTEM%{DATA}

至

MESSAGE %{DATA}ERR_SYSTEM.*

使用模板： { "template_1" : { "template" : "logstash-*", "settings" : { "number_of_shards" : 5, "number_of_replicas" : 1, "index.cache.field.type" : "soft", "index.refresh_interval" : "5s", "index.store.compress.stored" : true, "index" : { "store" : { "compress" : { "stored" : true }} } }, "mappings" : { "nginxlog" : { "_ttl" : {"enabled" : true, "default" : "1m"}, "properties" : { "@timestamp": { "type": "date", "format" : "dateOptionalTime"} } } } } }

设置1分钟后，自动删除以后一分钟