Graylog: Fehler bei OpenSearch-Indices im Read-only-Modus beheben

Diese Dokumentation ist Teil des Aufbewahrung verwalten-Leitfadens. Den vollständigen Leitfaden finden Sie hier: Wie Sie die Protokollaufbewahrung konfigurieren.

👋 Willkommen bei der Stackhero-Dokumentation!

Stackhero bietet eine einsatzbereite Graylog Cloud-Lösung, die zahlreiche Vorteile bietet, darunter:

  • Unbegrenzter und dedizierter SMTP-E-Mail-Server inklusive.
  • Mühelose Updates mit nur einem Klick.
  • Anpassbarer Domainname gesichert mit HTTPS (zum Beispiel, https://logs.ihre-firma.com).
  • Optimale Performance und robuste Sicherheit durch eine private und dedizierte VM.

Sparen Sie Zeit und vereinfachen Sie Ihr Leben: Es dauert nur 5 Minuten, um die Graylog Cloud Hosting-Lösung von Stackhero auszuprobieren!

Gelegentlich kann OpenSearch in den Read-only-Modus wechseln und Sie erhalten Fehlermeldungen wie:

  1. „Flood stage disk watermark exceeded, all indices on this node will be marked read-only“
  2. „FORBIDDEN/12/index read-only / allow delete (api)“

Diese Fehler treten als Teil des Schutzmechanismus von OpenSearch auf, wenn der Speicherplatz kritisch niedrig ist. Sobald der verfügbare Speicherplatz unter 7 GB fällt, setzt OpenSearch die Indizes vorsorglich auf Read-only, um Datenkorruption zu vermeiden.

Wenn Sie auf diese Fehler stoßen, haben Sie zwei Möglichkeiten:

  1. Passen Sie Ihre Aufbewahrungsrichtlinie an, um weniger Protokolle zu speichern. Nachdem Sie die Richtlinie angepasst haben, löschen Sie den ältesten Index, um Speicherplatz freizugeben und OpenSearch die Rückkehr in den Read-Write-Modus zu ermöglichen. Beachten Sie, dass das Löschen eines Index den vollständigen Verlust aller darin enthaltenen Daten bedeutet.
  2. Wechseln Sie auf eine Instanz mit größerer Festplatte. Mit nur einem Klick im Stackhero-Dashboard startet die Instanz mit mehr Speicherplatz neu und OpenSearch kehrt automatisch in den Read-Write-Modus zurück.