我正在使用Elasticsearch作为集中式日志记录平台。正如大多数示例所示,我一直在记录按天标记的多个索引(例如logmessages-2017-04-14)
但是,我只有一个包含所有这些每日索引的节点设置。在这个单一节点上只记录一个logmessages索引,我会更好吗?
由于我只有一个节点,因此我将每个索引的副本设置为0,并将分片设置为1。我每月索引大约100,000份文件。
答案 0 :(得分:0)
答案是" no" 。
日志记录用例始终定义了保留期限,这意味着在一段时间之后您不再需要这些日志,您需要删除它们。这与Elasticsearch索引相同:当达到保留期限时,该日志将被删除。
使用基于时间的索引,您可以删除一天的索引。删除整个索引比索引中的单个文档要好得多。