Graylog: Inzicht in indices

Deze documentatie maakt deel uit van de Retentie beheren-gids. Bekijk de volledige gids hier: Hoe logretentie te configureren.

👋 Welkom bij de Stackhero documentatie!

Stackhero biedt een kant-en-klare Graylog cloud oplossing die tal van voordelen biedt, waaronder:

  • Onbeperkte en toegewijde SMTP e-mailserver inbegrepen.
  • Moeiteloze updates met slechts één klik.
  • Aanpasbare domeinnaam beveiligd met HTTPS (bijvoorbeeld, https://logs.uw-bedrijf.com).
  • Optimale prestaties en robuuste beveiliging aangedreven door een privé en toegewijde VM.

Bespaar tijd en vereenvoudig uw leven: het kost slechts 5 minuten om de Graylog cloud hosting oplossing van Stackhero te proberen!

Voordat u uw retentiebeleid definieert, is het belangrijk om te begrijpen hoe de indices die door Graylog en OpenSearch worden gebruikt, werken. Zie indices als fysieke containers. Graylog "opent" een container (een index) en plaatst binnenkomende berichten daarin. Zodra het aan die container toegewezen quotum is bereikt, wordt de container gesloten, op een plank gezet en wordt er een nieuwe container gestart voor volgende berichten.

U kunt dit quotum instellen op basis van verschillende criteria:

  1. Een aantal berichten: "Bewaar 20 miljoen berichten per container, start daarna een nieuwe."
  2. Een tijdslimiet: "Gebruik een container gedurende 10 dagen, schakel daarna over naar een nieuwe."
  3. Een opslaglimiet: "Sla 20 GB per container op, ga daarna verder met een nieuwe."

Er wordt ook een maximaal aantal containers gedefinieerd dat op de plank kan worden opgeslagen. Als dit aantal wordt overschreden, worden de oudste containers automatisch verwijderd. Stel bijvoorbeeld dat u een maximum van 20 containers instelt en er staan er 22 op de plank, dan worden de 2 oudste containers verwijderd.

In deze analogie vertegenwoordigen de containers de indices, de plank is OpenSearch en het maximumaantal staat voor het toegestane aantal indices.