Comment vider manuellement les données de Graylog 2.1

J'ai un Graylog 2.1 serveur qui a été en cours d'exécution pendant un certain temps. Je n'avais pas prêté attention à mon taux de rétention récemment et est venu ce matin pour trouver Graylog partiellement écrasé parce que le disque était sorti de l'espace. Près de 100% de l'espace disque est actuellement prises par Elasticsearch Éclats. L'interface web pour Graylog n'est actuellement pas utilisable en l'état. J'ai essayé un peu de la norme Ubuntu astuces pour libérer de l'espace disque comme apt-get autoremove et clean, mais n'était pas en mesure d'obtenir suffisamment d'obtenir l'interface web fonctionnel.

Le problème, c'est l'ensemble de la documentation que je peux trouver actuellement pour changer le taux de rétention et le vélo, les éclats, se fait via l'interface web. Les seules options de configuration ne s'affichent plus présents dans le Graylog fichier de configuration.

Quelqu'un sait-il d'un manuel, CLI, façon de purger les données de la Elasticsearch Fragments en Graylog 2.1?

OriginalL'auteur Ben Sooter | 2016-09-15

  1. 7

    Premiers soins: vérifier les indices sont présents:

    curl http://localhost:9200/_cat/indices

    Puis supprimer les plus anciens indices (vous ne devez pas supprimer tous)

    curl -XDELETE http://localhost:9200/graylog_1
curl -XDELETE http://localhost:9200/graylog_2
curl -XDELETE http://localhost:9200/graylog_3

    Correctif: Vous pouvez ensuite réduire le paramètre elasticsearch_max_number_of_indices dans /etc/graylog/serveur/serveur.conf à une valeur qui correspond à votre disque.

    OriginalL'auteur bbaassssiiee

  2. 3

    Si Elasticsearch est toujours en partant, vous pouvez simplement supprimer les indices avec la Supprimer l'Index de l'API, qui est, après l'utilisation de Graylog directement (Système /Indices de page dans l'interface web), la meilleure façon de se débarrasser d'Elasticsearch indices.

    Si vous êtes totalement vissé (j'. e. ni Graylog, ni Elasticsearch sont à partir de), vous pouvez toujours supprimer les données complètes à partir de Elasticsearch du chemin de données (voir Annuaire De Mise En Page).

    Je suis allé à la physique des tessons qui ont été sous /var/lib/elasticsearch/data et situé le plus ancien graylog éclats et finit par la suppression de deux de la gratuité de plusieurs GO d'espace disque. Ce libérés assez d'espace pour avoir tout ce travail et m'a permis de modifier ma stratégie de rétention par le biais de l'interface web. Merci.

    OriginalL'auteur joschi

  3. 0

    Il y a la liste des indices sous graylog panneau d'admin,

    "/system/indices"

    Il y a le bouton supprimer pour chaque indice. Vous pouvez vérifier les anciens indices et de les supprimer si besoin est.

    Vous pouvez également supprimer les fichiers journaux de plus de 7 jours à compter de elastic search,

    sudo find /var/log/elasticsearch/-type f -mtime +7 -delete

    OriginalL'auteur Hemant Thorat

  4. 0

    Vous devez mettre en place une stratégie de fidélisation de l'intérieur graylog. Si vous gérez les indices vous-même et vous supprimez les mauvais index, vous pouvez casser votre graylog.

    Aller dans système/indices. Sélectionnez par défaut de fixation de l'indice. Sélectionnez modifier l'index ensemble, vous y trouverez l'indice de rotation et de la rétention.

    OriginalL'auteur sirolf2009