从单个规则中排除冷数据和冻结数据

Elastic Stack

如果您的规则查询来自冷或冻结数据层的数据，规则的执行速度可能会变慢或失败。为了帮助 Elasticsearch 更有效地排除冷数据和冻结数据，请应用一个查询 DSL 过滤器，该过滤器在执行规则时忽略冷数据和冻结文档。您可以在创建新规则或更新现有规则时添加过滤器。

提示

为确保 Kibana 空间中的规则在执行时排除冷数据和冻结文档，请配置 excludedDataTiersForRuleExecution 高级设置。此设置不适用于机器学习规则。

重要

此方法不支持 ES|QL 和机器学习规则。
即使应用此过滤器，如果与规则指定的索引模式匹配的冻结或冷分片在规则执行期间不可用，指示符匹配和事件关联规则仍可能失败。如果发生故障，我们建议修改规则的索引模式，使其仅匹配包含热层数据的索引。

以下是一个示例查询 DSL 过滤器，该过滤器在规则执行期间排除冻结层文档

		 {    "bool":{
      "must_not":{
         "terms":{
            "_tier":[
               "data_frozen"
            ]
         }
      }
   }
}

	

以下是另一个示例查询 DSL 过滤器，该过滤器在规则执行期间排除冷数据和冻结层文档

		 {    "bool":{
      "must_not":{
         "terms":{
            "_tier":[
               "data_frozen", "data_cold"
            ]
         }
      }
   }
}

	