Graylog: Zrozumienie indeksów

Ta dokumentacja jest częścią przewodnika Zarządzanie retencją. Pełny przewodnik znajdziesz tutaj: Jak skonfigurować retencję logów.

👋 Witamy w dokumentacji Stackhero!

Stackhero oferuje gotowe do użycia rozwiązanie Graylog cloud, które zapewnia wiele korzyści, w tym:

  • Nieograniczony i dedykowany serwer e-mail SMTP w zestawie.
  • Bezproblemowe aktualizacje za pomocą jednego kliknięcia.
  • Dostosowywalna nazwa domeny zabezpieczona za pomocą HTTPS (na przykład, https://logs.twoja-firma.com).
  • Optymalna wydajność i solidne zabezpieczenia dzięki prywatnej i dedykowanej VM.

Oszczędzaj czas i upraszczaj swoje życie: wystarczy 5 minut, aby wypróbować rozwiązanie Graylog cloud hosting Stackhero!

Przed zdefiniowaniem polityki retencji ważne jest, aby zrozumieć, jak działają indeksy wykorzystywane przez Graylog i OpenSearch. Indeksy można porównać do fizycznych pojemników. Graylog „otwiera” pojemnik (indeks) i umieszcza w nim przychodzące wiadomości. Gdy przypisany do tego pojemnika limit zostanie przekroczony, pojemnik jest zamykany, odkładany na „półkę”, a dla kolejnych wiadomości otwierany jest nowy pojemnik.

Limit ten można ustawić według różnych kryteriów:

  1. Liczba wiadomości: „Przechowuj 20 milionów wiadomości na pojemnik, a następnie rozpocznij nowy.”
  2. Ograniczenie czasowe: „Używaj pojemnika przez 10 dni, potem przejdź do nowego.”
  3. Ograniczenie rozmiaru: „Przechowuj 20 GB na pojemnik, potem przejdź do kolejnego.”

Określona jest również maksymalna liczba pojemników, które mogą być przechowywane na półce. Jeśli liczba ta zostanie przekroczona, najstarsze pojemniki są automatycznie usuwane. Na przykład, jeśli ustawisz maksymalnie 20 pojemników, a na półce znajduje się 22, dwa najstarsze zostaną usunięte.

W tej analogii pojemniki to indeksy, półka to OpenSearch, a liczba maksymalna to dozwolona liczba indeksów.