从单个规则中排除冷冻数据
编辑从单个规则中排除冷冻数据
编辑如果您的规则查询来自冷或冻结的数据层的数据,则其执行速度可能会变慢或失败。为了帮助 Elasticsearch 更有效地排除冷冻数据,请应用一个 Query DSL 过滤器,在规则执行时忽略冷冻文档。您可以在创建新规则或更新现有规则时添加此过滤器。
为了确保您的 Kibana 空间中的规则在执行时排除冷冻文档,请配置 excludedDataTiersForRuleExecution 高级设置。此设置不适用于机器学习规则。
- 此方法不支持 ES|QL 和机器学习规则。
- 即使应用此过滤器,如果规则执行期间与规则指定的索引模式匹配的冻结或冷分片不可用,指示器匹配和事件关联规则仍可能失败。如果发生故障,我们建议修改规则的索引模式,使其仅匹配包含热层数据的索引。
以下是一个示例 Query DSL 过滤器,它在规则执行期间排除冻结层文档
{
"bool":{
"must_not":{
"terms":{
"_tier":[
"data_frozen"
]
}
}
}
}
以下是另一个示例 Query DSL 过滤器,它在规则执行期间排除冷层和冻结层文档
{
"bool":{
"must_not":{
"terms":{
"_tier":[
"data_frozen", "data_cold"
]
}
}
}
}