Manuelles bereinigen von Daten aus Graylog 2.1

Ich habe eine Graylog 2.1-server, der läuft seit geraumer Zeit. Ich hatte nicht darauf geachtet, um mein retention-rate vor kurzem und kam an diesem morgen zu finden, Graylog teilweise abgestürzt, weil die Festplatte war aus dem Raum. Fast 100% der Speicherplatz wird derzeit durch Elasticsearch Scherben. Das web-interface für Graylog ist derzeit nicht nutzbar und in den Zustand es in. Ich habe versucht, einige der standard-Ubuntu-tricks für das freigeben von Speicherplatz wie apt-get autoremove und clean war, aber nicht in der Lage zu bekommen genug, um das web-interface funktionsfähig.

Das problem ist, alle Unterlagen, die ich finden z.Zt. für die änderung der Rückhaltung und Radtouren durch die Scherben, ist über das web-interface. Die einzige config-Optionen werden nicht mehr angezeigt, vorhanden in der Graylog-config-Datei.

Kennt jemand eine Anleitung, CLI, Weg bereinige die Daten aus der Elasticsearch Scherben in Graylog 2.1?

InformationsquelleAutor Ben Sooter | 2016-09-15

  1. 7

    Erste-Hilfe -: überprüfen, welche Indizes vorhanden sind:

    curl http://localhost:9200/_cat/indices

    Dann löschen Sie den ältesten Indizes (sollten Sie nicht alle löschen)

    curl -XDELETE http://localhost:9200/graylog_1
curl -XDELETE http://localhost:9200/graylog_2
curl -XDELETE http://localhost:9200/graylog_3

    Update: Sie können dann reduzieren Sie die parameter elasticsearch_max_number_of_indices in /etc/graylog/server/server.conf auf einen Wert, der passt Ihre Festplatte.

    InformationsquelleAutor bbaassssiiee

  2. 3

    Wenn Elasticsearch ist noch startet, können Sie einfach löschen Sie die Indizes mit dem Löschen von Index-API, die, nachdem Sie mit Graylog direkt (System /Index-Seite im web-interface), der bevorzugte Weg, um loszuwerden, Elasticsearch-Indizes.

    Wenn Sie ganz eingeschraubt (ich. e. weder Graylog, noch Elasticsearch starten), können Sie immer noch löschen der kompletten Daten von Elasticsearch die Daten Weg (siehe Directory Layout).

    Ich ging zu der physikalischen Scherben, die waren unter /var/lib/elasticsearch/data und befindet sich die älteste graylog Scherben und landete löschen von zwei von Ihnen frei, mehrere GB Speicherplatz. Dies befreit genug Platz, um alles, was die Arbeit und erlaubt, mich zu ändern, mein Aufbewahrungsrichtlinien über die web-Schnittstelle. Danke.

    InformationsquelleAutor joschi

  3. 0

    Hier ist eine Liste von Indizes unter graylog admin-panel,

    "/system/Indizes"

    Es ist die löschen Taste für jeden index. Sie können überprüfen Sie alte Indizes und löschen Sie Sie, wenn nicht erforderlich.

    Können Sie auch löschen Sie Protokolldateien, die älter als 7 Tage von elastic search,

    sudo find /var/log/elasticsearch/-type f -mtime +7 -delete

    InformationsquelleAutor Hemant Thorat

  4. 0

    Sollten Sie ein retention-Strategie innerhalb von graylog. Wenn es Ihnen gelingt, die Indizes selbst und löschen Sie den falschen-index, könnten Sie brechen Sie Ihre graylog.

    Gehen Sie zu system/indeces. Wählen Sie Standard index gesetzt. Wählen Sie "Bearbeiten" index gesetzt und dort finden Sie index-rotation und-Bindung.

    InformationsquelleAutor sirolf2009

Schreibe einen Kommentar