嗨，我有几个关于 Kibana、Curator 和 ElasticSearch 的问题。
我最近一直在填补 SIEM 管理员的职位，因为它现在空缺。
我遇到的问题是 SIEM 确实有日志，但日志太大而无法在 Kibana 上显示任何显示“超时错误”的可视化。
所以我试图通过将 disk_space 从 48 减少到 ~25 来进入 curator/delete.yml 文件来减少日志量，但是每次我尝试更改它时，它都会自动恢复为 48。
那么为什么它会不断改回原来的设置（有什么东西可以覆盖它吗？）有人可以插话吗？
另外，如何修剪日志以使 Kibana 在显示可视化时不会出现太多超时错误？

感谢任何其他问题，我会尽力回答并提供更多反馈。

# Remember,leave a key empty if there is no value.  None will be a string,# not a Python "nonetype"
#
# Also remember that all examples have 'disable_action' set to True.  If you
# want to use this action as a template,be sure to set this to False after
# copying it.
actions:
  1:
    action: delete_indices
    description: >-
      Delete indices when $disk_space value (in GB) is exceeded.
    options:
      ignore_empty_list: True
      disable_action: False
    filters:
    - filtertype: pattern
      kind: prefix
      value: logstash-
    - filtertype: space
      source: creation_date
      use_age: True
      disk_space: 48

解决方法

暂无找到可以解决该程序问题的有效方法，小编努力寻找整理中！

如果你已经找到好的解决方法，欢迎将解决方案带上本链接一起发送给小编。

小编邮箱:dio#foxmail.com (将#修改为@）