近期时间主要都在研究elk三件套，既elasticsearch，logstash和kibana

记录一个日志过滤的案例

实际数据有部分删减,

原日志：

logstash日志中显示

[FORBIDDEN/12/index read-only / allow delete (api)]

logstash无法向elasticsearch写入文档，原因大致是硬盘已满导致。

硬盘已满时elasticsearch由于没有空间无法索引更多的文档，而将自己切换为只读状态，以确保只读查询的可用性。