从单个规则中排除冷数据和冻结数据
编辑从单个规则中排除冷数据和冻结数据
编辑如果您的规则查询冷数据或冻结数据层中的数据,则其性能可能会降低或失败。为了帮助 Elasticsearch 更有效地排除冷数据和冻结数据,请应用一个 Query DSL 过滤器,在规则执行时忽略冷文档和冻结文档。您可以在创建新规则或更新现有规则时添加此过滤器。
为了确保 Kibana 空间中的规则在执行时排除冷文档和冻结文档,请配置excludedDataTiersForRuleExecution 高级设置。此设置不适用于机器学习规则。
- 此方法不支持 ES|QL 和机器学习规则。
- 即使应用此过滤器,如果在规则执行期间无法访问与规则指定的索引模式匹配的冻结或冷分片,指标匹配和事件关联规则仍然可能失败。如果发生故障,我们建议修改规则的索引模式,使其仅匹配包含热层数据的索引。
以下是一个示例 Query DSL 过滤器,它在规则执行期间排除冻结层文档
{
"bool":{
"must_not":{
"terms":{
"_tier":[
"data_frozen"
]
}
}
}
}
以下是一个示例 Query DSL 过滤器,它在规则执行期间排除冷层和冻结层文档
{
"bool":{
"must_not":{
"terms":{
"_tier":[
"data_frozen", "data_cold"
]
}
}
}
}