Sou*_*tta 1 elasticsearch elastic-stack elk
我在 3 个主机中总共有大约 250 GB 的索引,即 ELK 集群中的 750 GB 数据。
那么我如何轮换 ELK 日志以在我的 ELK 集群中保留三个月的数据,并且应该将较旧的日志推送到其他地方。
小智 7
您可以使用“ indexname-%{+YYYY.MM} ”命名格式创建索引。这将每个月创建一个不同的索引。
然后,您可以使用诸如curator 之类的插件,根据时间戳过滤此索引。策展人可以帮助您设置 CRON 作业以清除那些旧索引或将它们备份到某个 s3 存储库中。
参考 -使用 curator 备份或还原
此外,您甚至可以在需要时直接从 s3 存储库恢复这些备份索引以进行历史分析。
| 归档时间: |
|
| 查看次数: |
1729 次 |
| 最近记录: |