filebeat 设置索引的 max_result_window

在 Filebeat 中设置索引的 max_result_window 需要修改 Elasticsearch 的索引模板。max_result_window 参数定义了在 Elasticsearch 中执行搜索时，最大返回文档的数量。默认情况下，该值为 10000。

要修改该值，可以按照以下步骤操作：

打开 Filebeat 的配置文件。
找到输出部分，其中定义了 Elasticsearch 输出。
在 Elasticsearch 输出配置中，找到索引模板相关的配置。
确保你已经定义了自定义的索引模板（如果没有，请创建一个）。
在索引模板中，设置 max_result_window 参数为你希望的值。
例如，如果你想将 max_result_window 设置为 20000，可以像这样修改索引模板：

yaml

Copy code
output.elasticsearch:
hosts: ["your_elasticsearch_host"]
index: "your_index_name"
setup.template.name: "your_template_name"
setup.template.pattern: "your_template_pattern"
setup.template.overwrite: false
template.overwrite: false
indices:

- index: "your_index_name"
  when.regexp:
    log.file.path: "your_log_path"
  settings:
    index:
      max_result_window: 20000

请注意，这只是一个示例配置，你需要根据你的实际情况进行调整。

完成修改后，重启 Filebeat 以使更改生效。然后，当 Filebeat 发送日志到 Elasticsearch 时，将使用你设置的 max_result_window 值。