Удалить конкретное сообщение журнала от Graylog

Question

Мне нужно удалить определенные сообщения журнала из Graylog, однако, похоже, для этого нет никакого общедоступного API (собирается браузер браузера Graylog).

Существует очень мало документации о том, как это можно сделать. Я нашел несколько случайных статей, которые предполагают, что он/был возможен через curl и API запросов, но ничего существенного.

Предоставлено graylog доступно через «http://1.2.3.4:5678», и у меня есть сообщение с идентификатором «94c84300-d3c1-11e6-b900-005056ac343f» в индексе «graylog_0», как я могу удалить это сообщение?

Answer 1

Поскольку у вас есть доступ к ES, вы можете удалить сообщение непосредственно в ES. Если ваше сообщение в прошлом индекс, вы должны сделать его записываемым снова, как и все прошлые показатели сделаны только для чтения Graylog, поэтому первым запустить это:

curl -XPUT 'http://localhost:9200/graylog_0/_settings' -d '{ 
    "index" : { 
     "blocks.write" : false 
    } 
}' 

Затем вы можете удалить сообщение

curl -XDELETE 'http://localhost:9200/graylog_0/message/94c84300-d3c1-11e6-b900-005056ac343f 

Наконец, вам нужно сделать индекс только для чтения снова

curl -XPUT 'http://localhost:9200/graylog_0/_settings' -d '{ 
    "index" : { 
     "blocks.write" : true 
    } 
}' 

по желанию, вы также можете сделать Graylog пересчитывать диапазоны индексов, так что вы можете запустить непосредственно против Graylo г сервера:

curl -XPOST http://1.2.3.4:5678/system/indices/ranges/rebuild 

UPDATE

Если вы хотите навалом удалить несколько сообщений, вы можете использовать насыпной API легко:

curl -XPOST 'http://localhost:9200/graylog_0/message' -d ' 
{"delete":{ "_id": "94c84300-d3c1-11e6-b900-005056ac343f"}} 
{"delete":{ "_id": "94c84300-d3c1-11e6-b900-005056ac543e"}} 
{"delete":{ "_id": "94c84300-d3c1-11e6-b900-005056ac8694"}} 
{"delete":{ "_id": "94c84300-d3c1-11e6-b900-005056ac1264"}} 
'