{"@timestamp":"2025-10-10T01:30:54.344Z", "log.level": "WARN", "message":"high disk watermark [90%] exceeded on [iYjn6nhrT-2vbYycA5rqIw][elasticsearch-es-default-0][/usr/share/elasticsearch/data] free: 9.5gb[9.5%], shards will be relocated away from this node; currently relocating away shards totalling [0] bytes; the node is expected to continue to exceed the high disk watermark when these relocations are complete", "ecs.version": "1.2.0","service.name":"ES_ECS","event.dataset":"elasticsearch.server","process.thread.name":"elasticsearch[elasticsearch-es-default-0][masterService#updateTask][T#61283]","log.logger":"org.elasticsearch.cluster.routing.allocation.DiskThresholdMonitor","elasticsearch.cluster.uuid":"j0uwAj-lTbCWO3z0IzpX6w","elasticsearch.node.id":"iYjn6nhrT-2vbYycA5rqIw","elasticsearch.node.name":"elasticsearch-es-default-0","elasticsearch.cluster.name":"elasticsearch"}
용량제한 90% 가 넘으면 경고가 뜨고, 95% 가 넘으면 읽기전용으로 바뀐다.
PUT _data_stream/logs-generic-default/_lifecycle
{
"policy": "delete-after-14d"
}
롤오버로 새로운 인덱스 생성하는거 굳이 안써도 됨. 어차피 우리는 하루단위로 새로운 인덱스를 생성하고 30일간 유지하기떄문에 그냥 기존 2025-10-10 인덱스에서 30일 지난 데이터 삭제하는걸로 충분함.
PUT _ilm/policy/k8s-30d-delete
{
"policy": {
"phases": {
"delete": {
"min_age": "30d",
"actions": { "delete": {} }
}
}
}
}
index 우린 k8s-2025.09.11 패턴으로 생성되고 이후 이러한 인덱스들 모두에 30일 후 삭제 정책을 적용하려면 아래의 템플릿을 생성해주면 된다.
PUT _index_template/k8s-template
{
"index_patterns": ["k8s-*"],
"template": {
"settings": {
"index.lifecycle.name": "k8s-30d-delete"
}
},
"priority": 500
}