我有一个运行了一段时间的 Graylog 2.1 服务器。我最近没有注意我的保留率,今天早上进来发现 Graylog 部分崩溃了,因为磁盘空间不足。目前 Elasticsearch Shards 占用了近 100% 的磁盘空间。Graylog 的 Web 界面目前在其所处的状态下不可用。我尝试了一些标准的 Ubuntu 技巧来释放磁盘空间,例如apt-get autoremove和clean,但无法获得足够的 Web 界面功能。
问题是我目前可以找到的所有用于更改保留率和循环分片的文档都是通过 Web 界面。Graylog 配置文件中不再出现唯一的配置选项。
有谁知道从 Graylog 2.1 中的 Elasticsearch Shards 中清除数据的手动 CLI 方式?
急救:检查存在哪些指标:
curl http://localhost:9200/_cat/indices
然后删除最旧的索引(你不应该全部删除)
curl -XDELETE http://localhost:9200/graylog_1
curl -XDELETE http://localhost:9200/graylog_2
curl -XDELETE http://localhost:9200/graylog_3
修复:然后您可以将 /etc/graylog/server/server.conf 中的参数 elasticsearch_max_number_of_indices 减少到适合您的磁盘的值。
如果 Elasticsearch 仍在启动,您可以简单地使用Delete Index API 删除索引,即直接使用 Graylog 之后(Web 界面中的系统/索引页面),这是摆脱 Elasticsearch 索引的首选方式。
如果您完全搞砸了(即 Graylog 和 Elasticsearch 都没有启动),您仍然可以从 Elasticsearch 的数据路径中删除完整的数据(请参阅目录布局)。
graylog 管理面板下有索引列表,
“/系统/索引”
每个索引都有删除按钮。如果不需要,您可以检查旧索引并删除它们。
您还可以从弹性搜索中删除超过 7 天的日志文件,
sudo find /var/log/elasticsearch/ -type f -mtime +7 -delete
您应该在 graylog 中设置保留策略。如果您自己管理索引并删除了错误的索引,您可能会破坏您的 graylog。
转到系统/指标。选择默认索引集。选择编辑索引集,您将在那里找到索引轮换和保留。