いくつかのGraylog2サーバ(graylog-serverバージョン1.3.4)を使用しています。あまりにも多くのログメッセージを受信するため、多くのメモリが必要です。ログの保存期間を1週間に短縮しようとしていますが、1週間以上経過したログメッセージはすべて削除されます。しかし、私はそれを行うために構成ファイルの値を見つけることができません。
"max_time_per_index = 7d"の値を使用しましたが、max_time_per_indexは回転して新しいインデックスが作成されるまでインデックスの年齢を定義するだけで、インデックスのメッセージではありません。
メッセージの保持期間を1週間に設定するにはどうすればよいですか?私を助けてください。どうもありがとう。Graylog2-ログ保持を1週間に設定する方法
これを達成する1つの方法は、毎日インデックスを回転させ、インデックスの最大数を8に保つことです。この方法では、Elasticsearchクラスタのログの1週間分+ログの現在日が常にあります。
elasticsearch_max_time_per_index = 1d
elasticsearch_max_number_of_indices = 8
検索性能がさらに良くGraylogのインテリジェントな時間範囲選択機能によりインデックスと少ない回転時間の感謝を使ってできることに注意してください。
elasticsearch_max_time_per_index = 12h
elasticsearch_max_number_of_indices = 16
あなたも、15指標のあなたの番号をドロップすることができ、まだデータの一週間は持っている:あなたは多くの件のデータを持っている場合たとえば、これは、より高速な検索結果を与える必要があります。
graylogサーバーは次のように構成する必要があります。 elasticsearch_max_time_per_index = 1d elasticsearch_max_number_of_indices = 7 rotation_strategy: time このケースでは時間がかかることに注意してください。それはうまくいった。
ローテーション戦略の有効な値は "close"と "delete"です。 –
これはGraylog_2以降のWeb GUIを使用して簡単に設定できます。
[管理]ドロップダウンメニューの[システム/インデックス]に移動します。 [設定]で設定の更新ボタンをクリックします。
ローテーション間隔= P1D(日)、 "インデックス時間" と等しくなるようにインデックスローテーションの設定を構成します。あなたは "インデックスを削除"したいのか、それとも単に終了するのかを決め、インデックスの最大数を "8"に設定する必要があります。それは現在の日と最後の7日間の指標を保つべきです。
注:基本的にそれらを圧縮して、別の保管場所に移動することができます
Graylog Enterprise edition comes with an option to "Archive" log files、(テープまたはちょうど別の保管場所にするかどうか)。
ご意見ありがとうございます。 – SWdream