从Graylog删除特定的日志消息

由于您有权访问ES，因此可以直接在ES中删除消息。如果您的消息在过去的索引中，则您需要使其再次可写，因为所有过去的索引都由Graylog设置为只读，因此首先运行此命令：

curl -XPUT 'http://localhost:9200/graylog_0/_settings' -d '{   "index" : {      "blocks.write" : false   }}'

然后您可以删除您的消息

curl -XDELETE 'http://localhost:9200/graylog_0/message/94c84300-d3c1-11e6-b900-005056ac343f

最后，您需要再次将索引设为只读

curl -XPUT 'http://localhost:9200/graylog_0/_settings' -d '{   "index" : {      "blocks.write" : true   }}'

（可选）您可能还希望使Graylog重新计算索引范围，因此可以直接在Graylog服务器上运行它：

curl -XPOST http://1.2.3.4:5678/system/indices/ranges/rebuild

更新

如果要批量删除多封邮件，可以轻松使用批量API：

curl -XPOST 'http://localhost:9200/graylog_0/message' -d '{"delete":{ "_id": "94c84300-d3c1-11e6-b900-005056ac343f"}}{"delete":{ "_id": "94c84300-d3c1-11e6-b900-005056ac543e"}}{"delete":{ "_id": "94c84300-d3c1-11e6-b900-005056ac8694"}}{"delete":{ "_id": "94c84300-d3c1-11e6-b900-005056ac1264"}}'