В соответствии с http://docs.graylog.org/en/1.3/pages/index_model.html, graylog2 удаляет старые индикаторы на основе «elasticsearch_max_number_of_indices».
Почему graylog2 не может допустить нет. признаков для роста?
Кроме того, согласно той же странице выше,
Вы настроили максимальное количество индексов в своем graylog.conf (elasticsearch_max_number_of_indices). Когда это число будет достигнуто, самые старые индексы будут автоматически удалены. Удаление выполняется главным узлом graylog-server в фоновом процессе, который постоянно сравнивает фактическое количество индексов с настроенным максимальным значением.
graylog-server постоянно удаляет индикаторы, поэтому, если бы я восстановил и старый индекс, когда мы уже на максимуме elasticsearch_max_number_of_indices
, вытолкнет ли это один из существующих?
Ответ прост: для экономии места и памяти. Если вы сохраните все, у вас в какой-то момент закончится место. Каждый индекс также требует определенного количества памяти, поэтому открытие большего количества индексов приведет к тому, что в конечном итоге у кластера закончится ОЗУ. Эта функция - простой способ настроить, сколько места должно занимать Graylog. Если вы хотите сохранить больше индексов, просто увеличьте количество максимальных индексов.
Индексы нумеруются последовательно, и вы можете восстановить более старый индекс и получить к нему доступ, если это действительно необходимо.