Graylog2- config loggt die Retention auf 1 Woche

Question

Wir verwenden einige Graylog2 Server (graylog-server Version 1.3.4). Da wir zu viele Protokollnachrichten erhalten, ist viel Speicher erforderlich. Ich versuche, die Protokollaufbewahrung auf 1 Woche zu reduzieren, alle Protokollnachrichten, die älter als 1 Woche sind, werden gelöscht. Ich kann jedoch keinen Wert in der Konfigurationsdatei finden, um das zu tun.
Ich habe "max_time_per_index = 7d" Wert verwendet, aber max_time_per_index scheint nur das Alter eines Indexes zu definieren, bis es gedreht wird und ein neuer Index erstellt wird, nicht die Nachrichten in diesem Index.
Also, was ist der beste Weg, um die Nachrichtenaufbewahrung auf 1 Woche zu setzen? Bitte hilf mir. Danke vielmals.

Answer 1

Eine Möglichkeit, dies zu erreichen, besteht darin, Ihren Index jeden Tag zu rotieren und die maximale Anzahl der Indizes auf 8 zu halten. Auf diese Weise haben Sie immer eine volle Woche + den aktuellen Tag der Protokolle in Ihrem Elasticsearch-Cluster.

elasticsearch_max_time_per_index = 1d 
elasticsearch_max_number_of_indices = 8 

Beachten Sie, dass Ihre Suchleistung noch besser sein kann durch mehr Index und weniger Rotationszeit dank der intelligenten Zeitbereich Auswahlfunktion von Graylog verwenden. Zum Beispiel soll dies eine schnelleres Suchergebnis geben, wenn Sie viele Daten haben:

elasticsearch_max_time_per_index = 12h 
elasticsearch_max_number_of_indices = 16 

Sie können sogar die Anzahl der Indizes bis 15 fallen und haben immer noch eine ganze Woche von Daten.

Answer 2

graylog Server sollte wie unten konfiguriert werden: elasticsearch_max_time_per_index = 1d elasticsearch_max_number_of_indices = 7 rotation_strategy: time Bitte beachten Sie, dass, ist Strategie, diesen Fall verwendet Zeit sein muss. Es hat gut funktioniert.

Answer 3

Dies kann einfach über die Web-GUI in Graylog_2 und höher konfiguriert werden.

Navigieren Sie im Verwaltungsmenü zu "System/Indizes". Klicken Sie unter "Einstellungen" auf die Schaltfläche Update-Konfiguration Schaltfläche.

Konfigurieren Sie den Index Rotation Konfiguration "Index Time", Rotationsperiode = P1D (pro Tag) entsprechen. Sie müssen entscheiden, ob Sie den "Index löschen" möchten oder nicht, oder schließen Sie ihn einfach und stellen Sie die maximale Anzahl der Indizes auf "8" ein. Das sollte den aktuellen Tag und die Indizes der letzten 7 Tage halten.

HINWEIS:

Graylog Enterprise edition comes with an option to "Archive" log files, die sie im Wesentlichen komprimiert und ermöglicht es Ihnen, sie an einem anderen Speicherort zu verschieben (ob auf Band oder in einem anderen Lagerort).