Graylog: 定义保留参数

本文档属于管理保留策略指南的一部分。您可以在此处查看完整指南:如何配置日志保留策略

👋 欢迎使用 Stackhero 文档!

Stackhero 提供即用型 Graylog 云 解决方案,具有众多优势,包括:

  • 包含无限制和专用的 SMTP 电子邮件服务器
  • 只需点击即可轻松完成更新
  • 使用 HTTPS 保护的可定制域名(例如,https://logs.your-company.com)。
  • 专用私有 VM提供的最佳性能和强大安全性

节省时间简化您的生活:只需 5 分钟即可试用 Stackhero 的 Graylog 云托管 解决方案!

默认情况下,Graylog 将索引数量限制为 20。您可以根据实际需求调整该值。例如,如果您希望保留最近 365 天的日志,可以将保留策略分配到索引上:365 天除以 20 个索引,约等于每个索引 19 天。

对于其他策略,您也可以进行类似的计算:

  1. 对于“Index message count”策略:如果希望保留 2 亿条消息,最多 20 个索引,则 2 亿条消息除以 20 个索引,每个索引 1000 万条消息。
  2. 对于“Index size”策略:如果希望保留 400 GB 日志,最多 10 个索引,则 400 GB 除以 10 个索引,每个索引 40 GB。

我们建议始终为日志、Graylog 的 journal 以及 MongoDB 数据预留至少 15 GB 的可用磁盘空间。

如果磁盘空间耗尽,OpenSearch 将会阻止其操作,您可能需要升级到更大的实例。