Назад | Перейти на главную страницу

Почему graylog2 удаляет старые индексы?

В соответствии с http://docs.graylog.org/en/1.3/pages/index_model.html, graylog2 удаляет старые индикаторы на основе «elasticsearch_max_number_of_indices».

Почему graylog2 не может допустить нет. признаков для роста?

Кроме того, согласно той же странице выше,

Вы настроили максимальное количество индексов в своем graylog.conf (elasticsearch_max_number_of_indices). Когда это число будет достигнуто, самые старые индексы будут автоматически удалены. Удаление выполняется главным узлом graylog-server в фоновом процессе, который постоянно сравнивает фактическое количество индексов с настроенным максимальным значением.

graylog-server постоянно удаляет индикаторы, поэтому, если бы я восстановил и старый индекс, когда мы уже на максимуме elasticsearch_max_number_of_indices, вытолкнет ли это один из существующих?

Ответ прост: для экономии места и памяти. Если вы сохраните все, у вас в какой-то момент закончится место. Каждый индекс также требует определенного количества памяти, поэтому открытие большего количества индексов приведет к тому, что в конечном итоге у кластера закончится ОЗУ. Эта функция - простой способ настроить, сколько места должно занимать Graylog. Если вы хотите сохранить больше индексов, просто увеличьте количество максимальных индексов.

Индексы нумеруются последовательно, и вы можете восстановить более старый индекс и получить к нему доступ, если это действительно необходимо.