Graylog2-如何将日志保留配置为1周

Question

我们正在使用一些Graylog2服务器(graylog-server版本1.3.4).因为我们收到太多日志消息,所以需要大量内存.我正在尝试将日志保留时间减少到1周,每个超过1周的日志消息都将被删除.但是,我无法在配置文件中找到任何值来做到这一点.
我使用了"max_time_per_index = 7d"值,但max_time_per_index似乎只是定义了索引的年龄,直到它被旋转并且正在创建新索引,而不是该索引中的消息.
那么,将邮件保留时间设置为1周的最佳方法是什么？请帮我.非常感谢.

Answer 1

这可以使用Graylog_2及更高版本中的Web GUI轻松配置.

导航到"管理"下拉菜单中的"系统/索引".在"设置"下,单击Update configuration 按钮.

将索引旋转配置配置为等于"索引时间",旋转周期= P1D(一天).您必须决定是否要"删除索引"或仅关闭它,然后将最大索引数设置为"8".这应该保持当前和指数的最后7天.

注意:

Graylog企业版附带"归档"日志文件选项,它基本上压缩它们并允许您将其移动到另一个存储位置(无论是磁带还是仅移动到另一个存储位置).

Answer 2

实现此目的的一种方法是每天旋转索引并将索引的最大数量保持为8.这样,您将始终在Elasticsearch集群中有一整周+当前日志.

elasticsearch_max_time_per_index = 1d
elasticsearch_max_number_of_indices = 8

请注意,由于Graylog的智能时间范围选择功能,您可以通过使用更多索引和更少的旋转时间来提高搜索性能.例如,如果您有许多数据,这应该可以提供更快的搜索结果:

elasticsearch_max_time_per_index = 12h
elasticsearch_max_number_of_indices = 16

你甚至可以将你的指数数量减少到15,并且仍然有一整周的数据.