Re: [OT] Re: Eliminar indices graylog Debian Wheezy

To: debian-user-spanish@lists.debian.org
Subject: Re: [OT] Re: Eliminar indices graylog Debian Wheezy
From: Camaleón <noelamac@gmail.com>
Date: Wed, 2 Dec 2015 15:20:00 +0000 (UTC)
Message-id: <[🔎] pan.2015.12.02.15.20.00@gmail.com>
Reply-to: "A MI NO, ENVIA A LA LISTA" <noelamac+A_MI_NO_ENVIA_A_LA_LISTA@gmail.com>
References: <CAJ2aOA-goHPR29P23eJLOsqSPF=mA-kCaokmhhi+54c38Br6nQ@mail.gmail.com> <pan.2015.10.31.16.16.50@gmail.com> <[🔎] CAJ2aOA_NbTL1p4iwk4eDXWuYMF3HwWDrA6_NUdPcL3V=8_cikg@mail.gmail.com>

El Tue, 01 Dec 2015 12:52:21 +0100, Maykel Franco escribió:

> El día 31 de octubre de 2015, 17:16, Camaleón <noelamac@gmail.com>
> escribió:
>> El Sat, 31 Oct 2015 15:01:59 +0100, Maykel Franco escribió:
>>
>>> Buenas, tengo un servidor graylog que se está llenando el
>>> almacenamiento y me gustaría borrar índices de elasticsearch para así
>>> liberar espacio,
>>> por ejemplo lo anterior a un mes, he cambiado los siguientes
>>> parámetros en server.conf y reiniciado graylog pero no libera
>>> espacio...
>>
>> (...)
>>
>>> Me falta algo o estoy haciendo algo mal?
>>
>> Revisa este artículo:
>>
>> A Retention Complication
>> http://secopsmonkey.com/a-retention-complication.html
>>
>>
>>
> Retomo este tema...
> 
> He seguido la guía que me pasastes, cambiado los parámetros según como
> dice y sigue sin rotar ni un solo GB... Tengo ya usados 662G y no
> libera...

ten en cuenta que los cambios que hayas hecho no son retroactivos, es 
decir, se aplicarán después de los días que hayas estipulado desde que 
hiciste la modificación (si lo cambiaste el 2015-12-01 suma los x días 
que hayas configurado). 

De todas formas, hablas de espacio (662 GiB) y no de días, tendrás que 
buscar un término medio que se acomode a tu configuración porque si 
realizas muchas transacciones, es posible que tengas que rotar o eliminar 
contenido antes de esos 30 días si no quieres que se te llene el disco.

> http://pastebin.com/HtEBwVYE

Estos son los valores que tienes actualmente:

elasticsearch_max_docs_per_index = 20000000
elasticsearch_max_number_of_indices = 20
elasticsearch_max_time_per_index = 1d
elasticsearch_max_number_of_indices = 20

Pero tienes que entender lo que significan esos valores y leer bien lo 
que tienes definido actualmente. En tu caso, veo que además de esos 
parámetros que mencionan en el artículo, tienes este:

rotation_strategy = count

Entiendo que si usas este valor en lugar de "time" el resto de opciones 
se invalidan.

> La verdad no sé que hacer porque me quedo sin espacio... Otra opción es
> borrar todos los índices pero eso no es solución, dentro de unos meses
> estaré igual...
> 
> Alguna sugerencia?

Que leas con tranquilidad la documentación y hagas pruebas :-)

Saludos,

-- 
Camaleón

Reply to:

Follow-Ups:
- Re: [OT] Re: Eliminar indices graylog Debian Wheezy
  - From: Maykel Franco <maykeldebian@gmail.com>

References:
- Re: [OT] Re: Eliminar indices graylog Debian Wheezy
  - From: Maykel Franco <maykeldebian@gmail.com>

Prev by Date: Re: [OT] Supermicro o HP DL180
Next by Date: Re: saludos lista
Previous by thread: Re: [OT] Re: Eliminar indices graylog Debian Wheezy
Next by thread: Re: [OT] Re: Eliminar indices graylog Debian Wheezy
Index(es):
- Date
- Thread