Re: [OT] Re: Eliminar indices graylog Debian Wheezy
El Tue, 01 Dec 2015 12:52:21 +0100, Maykel Franco escribió:
> El día 31 de octubre de 2015, 17:16, Camaleón <noelamac@gmail.com>
> escribió:
>> El Sat, 31 Oct 2015 15:01:59 +0100, Maykel Franco escribió:
>>
>>> Buenas, tengo un servidor graylog que se está llenando el
>>> almacenamiento y me gustaría borrar índices de elasticsearch para así
>>> liberar espacio,
>>> por ejemplo lo anterior a un mes, he cambiado los siguientes
>>> parámetros en server.conf y reiniciado graylog pero no libera
>>> espacio...
>>
>> (...)
>>
>>> Me falta algo o estoy haciendo algo mal?
>>
>> Revisa este artículo:
>>
>> A Retention Complication
>> http://secopsmonkey.com/a-retention-complication.html
>>
>>
>>
> Retomo este tema...
>
> He seguido la guía que me pasastes, cambiado los parámetros según como
> dice y sigue sin rotar ni un solo GB... Tengo ya usados 662G y no
> libera...
ten en cuenta que los cambios que hayas hecho no son retroactivos, es
decir, se aplicarán después de los días que hayas estipulado desde que
hiciste la modificación (si lo cambiaste el 2015-12-01 suma los x días
que hayas configurado).
De todas formas, hablas de espacio (662 GiB) y no de días, tendrás que
buscar un término medio que se acomode a tu configuración porque si
realizas muchas transacciones, es posible que tengas que rotar o eliminar
contenido antes de esos 30 días si no quieres que se te llene el disco.
> http://pastebin.com/HtEBwVYE
Estos son los valores que tienes actualmente:
elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 20
elasticsearch_max_time_per_index = 1d
elasticsearch_max_number_of_indices = 20
Pero tienes que entender lo que significan esos valores y leer bien lo
que tienes definido actualmente. En tu caso, veo que además de esos
parámetros que mencionan en el artículo, tienes este:
rotation_strategy = count
Entiendo que si usas este valor en lugar de "time" el resto de opciones
se invalidan.
> La verdad no sé que hacer porque me quedo sin espacio... Otra opción es
> borrar todos los índices pero eso no es solución, dentro de unos meses
> estaré igual...
>
> Alguna sugerencia?
Que leas con tranquilidad la documentación y hagas pruebas :-)
Saludos,
--
Camaleón
Reply to: