Graylog2 - wie config, logs, retention zu 1 Woche

Wir sind mit einigen Graylog2-Server ( graylog-server-version 1.3.4). Weil wir zu viel von log-Meldungen, es erfordert eine Menge Speicher. Ich bin versucht, um die Protokolle, Aufbewahrung 1 Woche, jeden log-Nachrichten, die älter als 1 Woche sind, gelöscht werden. Aber ich kann nicht herausfinden, einen beliebigen Wert in der Konfigurationsdatei zu tun.
Ich habe "max_time_per_index = 7d" Wert, aber max_time_per_index scheint, nur definieren Sie das Alter eines index, bis es gedreht und ein neuer index erstellt wird, nicht von den Nachrichten in diesem index.
Also, was ist der beste Weg, um die Aufbewahrung von Nachrichten auf 1 Woche? Bitte helfen Sie mir. Vielen Dank.

InformationsquelleAutor SWdream | 2016-05-19

  1. 7

    Diese können einfach konfiguriert werden über die Web-GUI in Graylog_2 und später.

    Navigieren Sie zu "System/Indizes" in der Verwaltung drop-down-Menü. Unter "Einstellungen", klicken Sie auf die Update-Konfiguration - Taste.

    Graylog2 - wie config, logs, retention zu 1 Woche

    Konfigurieren, den Index-Rotation-Konfiguration gleich "Index Zeit", Rotationsperiode = P1D (ein Tag). Sie müssen entscheiden, ob oder nicht Sie möchten, auf "Index Löschen" oder einfach nur schließen, dann legen Sie die maximale Anzahl der Indizes auf "8". Das sollte halten den aktuellen Tag und die letzten 7 Tage im Wert von Indizes.

    Graylog2 - wie config, logs, retention zu 1 Woche

    HINWEIS:

    Graylog Enterprise edition kommt mit einer option "Archiv" log-Dateien, die im wesentlichen komprimiert und ermöglicht Ihnen, bewegen Sie ihn an einen anderen Speicherort (ob auf Band oder einfach an einen anderen Speicherort).

    InformationsquelleAutor CaptJak

  2. 6

    Ein Weg dies zu erreichen ist, drehen Sie den index jeden Tag und halten Sie die maximale Anzahl der index-8. Auf diese Weise haben Sie immer eine volle Woche + den aktuellen Tag von Protokollen in der Elasticsearch-cluster. 

    elasticsearch_max_time_per_index = 1d
elasticsearch_max_number_of_indices = 8

    Beachten Sie, dass Ihre Suche Leistung kann noch besser mit index und weniger rotation Zeit durch die intelligente Zeit-Auswahl-Auswahl-Funktion von Graylog. Zum Beispiel, sollten schneller den Suchergebnissen, wenn Sie viele Daten : 

    elasticsearch_max_time_per_index = 12h
elasticsearch_max_number_of_indices = 16

    können Sie auch drop Ihre Anzahl von Indizes 15 und haben noch eine ganze Woche Daten.

    InformationsquelleAutor Babacar Diassé

  3. 2

    graylog-server sollte so konfiguriert werden, wie unten:

    elasticsearch_max_time_per_index = 1d
    elasticsearch_max_number_of_indices = 7
    rotation_strategy: time

    bitte beachten Sie, dass die Strategie verwendet wird, muss in diesem Fall Zeit. Es hat gut funktioniert.

    gültige Werte für die Drehung Strategie "nahe" und "löschen".

    InformationsquelleAutor SWdream

Schreibe einen Kommentar