手动安装的ELK 5.5.2
来自kibana.yml:
Kibana使用Elasticsearch中的索引来存储已保存的搜索, 可视化和仪表板。如果索引,Kibana会创建一个新索引 不存在。
由于某种原因,索引每天都被清除,所有可视化和仪表板都会消失
有来自elasticsearch日志的记录:
[2017-09-13T00:14:52,126][INFO ][o.e.c.m.MetaDataDeleteIndexService] [nAnqErn] [logstash-2017.09.11/CLJQRSDOTG2GrNZaPi0I4Q] deleting index
[2017-09-13T00:14:52,131][INFO ][o.e.c.m.MetaDataDeleteIndexService] [nAnqErn] [logstash-2017.09.12/45Z96SAOT_GmDt0lNVyfKw] deleting index
[2017-09-13T00:14:52,131][INFO ][o.e.c.m.MetaDataDeleteIndexService] [nAnqErn] [.kibana/vf8BVEpkQBmgYxj0K4c6hQ] deleting index
[2017-09-13T00:14:59,346][INFO ][o.e.c.m.MetaDataCreateIndexService] [nAnqErn] [.kibana] creating index, cause [api], templates [], shards [1]/[1], mappings [_default_, index-pattern, server, visualization, search, timelion-sheet, config, dashboard, url]
可能有一些日志轮换,但我在文档中找不到任何信息。 如何保存kibana设置?
答案 0 :(得分:0)
某人正在删除.kibana索引(第三行),其中包含您的可视化和仪表板。它们位于正确的位置,但您需要停止删除 - 它不应该发生。
这是否总是在同一时间发生(大约00:14:52)?然后我假设它有一些不好的自动化。 或者,如果此实例可公开访问,则可能是某些(勒索软件)僵尸程序会终止您的数据。
使用防火墙,反向代理或X-Pack security限制访问可能是个好主意。
答案 1 :(得分:0)
我的一个脚本清理了所有早于2天的数据,包括kibana索引,我们可以关闭这个问题,可能它会帮助某人,主要的想法是kibana设置 - 在elasticsearch中
curl -XDELETE "http://localhost:9200/_all" -H 'Content-Type:
application/json' -d'
{
"query": {
"range" : {
"@timestamp" : {
"lt" : "now-2d"
}
}
}
}'
需要指定logsatsh- * index