Manuelles bereinigen von Daten aus Graylog 2.1
Ich habe eine Graylog 2.1-server, der läuft seit geraumer Zeit. Ich hatte nicht darauf geachtet, um mein retention-rate vor kurzem und kam an diesem morgen zu finden, Graylog teilweise abgestürzt, weil die Festplatte war aus dem Raum. Fast 100% der Speicherplatz wird derzeit durch Elasticsearch Scherben. Das web-interface für Graylog ist derzeit nicht nutzbar und in den Zustand es in. Ich habe versucht, einige der standard-Ubuntu-tricks für das freigeben von Speicherplatz wie apt-get autoremove
und clean
war, aber nicht in der Lage zu bekommen genug, um das web-interface funktionsfähig.
Das problem ist, alle Unterlagen, die ich finden z.Zt. für die änderung der Rückhaltung und Radtouren durch die Scherben, ist über das web-interface. Die einzige config-Optionen werden nicht mehr angezeigt, vorhanden in der Graylog-config-Datei.
Kennt jemand eine Anleitung, CLI, Weg bereinige die Daten aus der Elasticsearch Scherben in Graylog 2.1?
InformationsquelleAutor Ben Sooter | 2016-09-15
Du musst angemeldet sein, um einen Kommentar abzugeben.
Erste-Hilfe -: überprüfen, welche Indizes vorhanden sind:
Dann löschen Sie den ältesten Indizes (sollten Sie nicht alle löschen)
Update: Sie können dann reduzieren Sie die parameter elasticsearch_max_number_of_indices in /etc/graylog/server/server.conf auf einen Wert, der passt Ihre Festplatte.
InformationsquelleAutor bbaassssiiee
Wenn Elasticsearch ist noch startet, können Sie einfach löschen Sie die Indizes mit dem Löschen von Index-API, die, nachdem Sie mit Graylog direkt (System /Index-Seite im web-interface), der bevorzugte Weg, um loszuwerden, Elasticsearch-Indizes.
Wenn Sie ganz eingeschraubt (ich. e. weder Graylog, noch Elasticsearch starten), können Sie immer noch löschen der kompletten Daten von Elasticsearch die Daten Weg (siehe Directory Layout).
/var/lib/elasticsearch/data
und befindet sich die älteste graylog Scherben und landete löschen von zwei von Ihnen frei, mehrere GB Speicherplatz. Dies befreit genug Platz, um alles, was die Arbeit und erlaubt, mich zu ändern, mein Aufbewahrungsrichtlinien über die web-Schnittstelle. Danke.InformationsquelleAutor joschi
Hier ist eine Liste von Indizes unter graylog admin-panel,
"/system/Indizes"
Es ist die löschen Taste für jeden index. Sie können überprüfen Sie alte Indizes und löschen Sie Sie, wenn nicht erforderlich.
Können Sie auch löschen Sie Protokolldateien, die älter als 7 Tage von elastic search,
InformationsquelleAutor Hemant Thorat
Sollten Sie ein retention-Strategie innerhalb von graylog. Wenn es Ihnen gelingt, die Indizes selbst und löschen Sie den falschen-index, könnten Sie brechen Sie Ihre graylog.
Gehen Sie zu system/indeces. Wählen Sie Standard index gesetzt. Wählen Sie "Bearbeiten" index gesetzt und dort finden Sie index-rotation und-Bindung.
InformationsquelleAutor sirolf2009