Graylog2-如何将日志保留配置为1周
我们正在使用一些Graylog2服务器(graylog-server版本1.3.4)。因为我们收到太多日志消息,所以需要大量内存。我正在尝试将日志保留时间减少到1周,每个超过1周的日志消息都将被删除。但是,我无法在配置文件中找到任何值来做到这一点
我使用" max_time_per_index = 7d" value,但max_time_per_index似乎只是定义索引的年龄,直到它被旋转并创建一个新索引,而不是该索引中的消息。
那么,将消息保留设置为1周的最佳方法是什么?请帮我。非常感谢。
3 个答案:
答案 0 :(得分:8)
可以使用Graylog_2及更高版本中的Web GUI轻松配置。
导航至"系统/指数"在“管理”下拉菜单中。在"设置"下,单击更新配置按钮。
将索引循环配置配置为等于"索引时间",循环周期= P1D(一天)。您必须决定是否要删除索引"或者只是关闭它,然后将最大索引数设置为" 8"。这应该保持当前和指数的最后7天。
注意:
Graylog Enterprise edition comes with an option to "Archive" log files,它基本上压缩它们并允许您将其移动到另一个存储位置(无论是磁带还是仅移动到另一个存储位置)。
答案 1 :(得分:7)
实现此目的的一种方法是每天轮换索引并将索引的最大数量保持为8.这样,您将始终拥有一整周+ Elasticsearch群集中的当前日志。
elasticsearch_max_time_per_index = 1d
elasticsearch_max_number_of_indices = 8
请注意,由于Graylog的智能时间范围选择功能,您可以通过使用更多索引和更少的旋转时间来提高搜索性能。例如,如果您有许多数据,这应该可以提供更快的搜索结果:
elasticsearch_max_time_per_index = 12h
elasticsearch_max_number_of_indices = 16
你甚至可以将你的索引数量减少到15,并且仍然有一整周的数据。
答案 2 :(得分:3)
graylog服务器应配置如下:
elasticsearch_max_time_per_index = 1d
elasticsearch_max_number_of_indices = 7
rotation_strategy: time
请注意,策略使用这种情况必须是时间。它运作良好。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?