我们正在使用一些 Graylog2 服务器(graylog-server 版本 1.3.4)。因为我们收到了太多的日志消息,所以需要大量的内存。我正在尝试将日志保留时间减少到 1 周,每条超过 1 周的日志消息都将被删除。但是,我在配置文件中找不到任何值来做到这一点。
我使用了“max_time_per_index = 7d”值,但 max_time_per_index 似乎只是定义索引的年龄,直到它被旋转并创建一个新索引,而不是该索引中的消息。
那么,将消息保留时间设置为 1 周的最佳方法是什么?请帮我。非常感谢。
问问题
16129 次
3 回答
10
这可以使用 Graylog_2 及更高版本中的 Web GUI 轻松配置。
导航到“管理”下拉菜单中的“系统/索引”。在“设置”下,单击Update configuration 按钮。
将索引轮换配置配置为等于“索引时间”,轮换周期 = P1D(一天)。您必须决定是要“删除索引”还是关闭它,然后将最大索引数设置为“8”。这应该保留当天和过去 7 天的指数。
笔记:
Graylog 企业版带有“存档”日志文件的选项,它本质上是压缩它们并允许您将其移动到另一个存储位置(无论是磁带还是只是到另一个存储位置)。
于 2017-07-11T05:53:16.743 回答
7
实现此目的的一种方法是每天轮换索引并将最大索引数保持为 8。这样您将始终在 Elasticsearch 集群中拥有整整一周 + 当天的日志。
elasticsearch_max_time_per_index = 1d
elasticsearch_max_number_of_indices = 8
请注意,由于 Graylog 的智能时间范围选择功能,使用更多的索引和更少的轮换时间可以使您的搜索性能更好。例如,如果您有很多数据,这应该会提供更快的搜索结果:
elasticsearch_max_time_per_index = 12h
elasticsearch_max_number_of_indices = 16
您甚至可以将索引数量减少到 15 个,而仍然拥有一整周的数据。
于 2016-05-26T19:54:53.090 回答
3
graylog 服务器配置如下:
elasticsearch_max_time_per_index = 1d
elasticsearch_max_number_of_indices = 7
rotation_strategy: time
请注意,使用策略这种情况必须是时间。它运作良好。
于 2016-05-30T10:28:41.997 回答