elk日志系统中elasticsearch 索引read only 解决

废话：最近开发的系统使用elasticsearch来存储日志，今早发现elasticsearch中存放日志的索引入库不了新产生的日志，也不能清空索引日志。在官网找了半天才发现问题所在。

原因：当存储空间使用超过95%时，elasticsearch会将索引设置为只读模式，所以新产生的日志不能入库，也不能清除。

            

解决：首先肯定要先解决磁盘空间问题，这个根据自己的情况去删除磁盘上的无用数据，这个就不多说了；磁盘清理好以后，需要去更改elasticsearch索引配置，将read only 状态改为false，才能正常入库日志。

          有几种方法可以更改索引状态，我是通过kibana更改的（当然前提是kibana和elasticsearch已经配置好，可以通过kibana查看索引信息）：

　　　　1.打开kibana，在左侧菜单栏找到Management，点击进入；

           

　　　　2.打开后可以看到kibana和elaticsearch管理入口，点击elasticsearch下的Index Management进入；

　　   

　　　　3.找到要更改的索引，点击，

　　   

　　　　  右侧会弹出索引管理；

　　   

　　　　4.点击settings，可以看到索引的配置信息，在前10行可以找到一行："read_only_allow_delete": "true" ，只需要把true改为false即可。

 　　  

　　　　5.点击 Edit settings，找到"read_only_allow_delete": "true"，将true改为false，

　　　　

　　　　点击保存就可以了。