Graylog2 - comment config journaux de rétention pour 1 semaine

Nous sommes à l'aide de certains Graylog2 serveurs ( graylog-server version 1.3.4). Parce que nous recevons trop de messages de log, il nécessite beaucoup de mémoire. Je suis en train d'essayer de réduire les journaux de rétention pour 1 semaine, tous les journaux de messages de plus de 1 semaine seront supprimés. Cependant, je ne trouve aucune valeur dans le fichier de configuration à faire.
J'ai utilisé "max_time_per_index = 7d" valeur mais max_time_per_index semble juste de définir l'âge d'un indice jusqu'à ce qu'elle est tournée et un nouvel index est en cours de création, pas de messages dans l'indice.
Alors, quelle est la meilleure façon de définir le message de rétention pour 1 semaine? S'il vous plaît aider moi. Merci beaucoup.

OriginalL'auteur SWdream | 2016-05-19

  1. 8

    Cela peut être facilement configuré à l'aide de l'interface Web dans Graylog_2 et plus tard.

    Accédez à Système/Indices" dans l'Administration menu déroulant. Sous "Paramètres", cliquez sur le configuration de mise à Jour bouton.

    Graylog2 - comment config journaux de rétention pour 1 semaine

    Configurer l'Indice de Rotation de la Configuration de l'égalité de l'Indice de "Temps", la Période de Rotation = P1D (un jour). Vous devrez décider si vous souhaitez ou non que de "Supprimer l'Index" ou tout simplement le fermer, puis définissez le nombre maximum d'indices à "8". Que doit garder le courant de la journée, et le dernier 7 jours d'indices.

    Graylog2 - comment config journaux de rétention pour 1 semaine

    REMARQUE:

    Graylog Enterprise edition est livré avec une option de "Archive" fichiers journaux, qui, essentiellement, les compresse et vous permet de vous déplacer vers un autre emplacement de stockage (que ce soit sur bande ou simplement à un autre emplacement de stockage).

    OriginalL'auteur CaptJak

  2. 7

    Une façon d'y parvenir est de faire tourner votre index de chaque jour et le nombre maximum d'indice de 8. De cette façon vous aurez toujours une semaine complète + le jour de journaux dans votre cluster Elasticsearch. 

    elasticsearch_max_time_per_index = 1d
elasticsearch_max_number_of_indices = 8

    Notez que votre recherche de la performance peut être encore mieux en utilisant plus de l'index et de moins en moins le temps de rotation grâce au système intelligent de temps de sélection plage de Graylog. Par exemple, cela devrait donner des résultats de recherche plus rapide si vous avez beaucoup de données : 

    elasticsearch_max_time_per_index = 12h
elasticsearch_max_number_of_indices = 16

    vous pouvez même déposer votre nombre d'indices à 15 et ont encore une semaine de données.

    OriginalL'auteur Babacar Diassé

  3. 3

    graylog serveur doit être configuré comme ci-dessous:

    elasticsearch_max_time_per_index = 1d
    elasticsearch_max_number_of_indices = 7
    rotation_strategy: time

    veuillez noter que la stratégie est utilisée ce cas, doit être à temps. Il a bien fonctionné.

    les valeurs valides pour la rotation de la stratégie sont "proches" et "supprimer".

    OriginalL'auteur SWdream