鉴于logstash配置可以有多个输入和输出 如果我在logstash上使用twitter输入,哪些因素决定了弹性搜索中存储的索引数量?
我是否应该为每个受监控帐户设置1个索引,每个标记或关键字为1个,或者是否存在其他可能影响设计的注意事项?
答案 0 :(得分:1)
每个开放索引的弹性搜索都有开销,因此他们每个都会消耗HEAP。
在索引中放置多种类型的文档是很常见的(这就是[type]字段的用途)。请注意,在elasticsearch v2中,任何具有相同名称的字段必须具有相同的映射(“myField”,如果一种类型的字符串必须始终为字符串)。
碎片有一个建议的大小上限,大约60GB IIRC。
最后,安排索引,以便轻松实施保留策略。如果一切都保存了7天,那么每日指数就能很好地运作。使用'curator'删除旧索引。
我更喜欢制作较少数量的大型索引。