Graylog的Indices功能用于管理Elasticsearch的shards、replicas和segments,实现日志按条件分配到不同Index,优化查询性能。通过设置Index轮转和删除策略,保持集群稳定性和查询效率。步骤包括创建Index set,定义轮转、保留策略,创建Stream并设置筛选条件,完成日志分类和存储。
Graylog的Indices功能主要是用来管理Elasticsearch的shards、replicas、segments,以及Index的轮转规则(按时间、按大小、按行数),保留最大的Index数量。
它主要解决两个方面的问题:
1、通过在创建的stream中放置判断条件,将日志存储到不同的Index别名中。日志被分配到不同的Index中去了,Index小了,查询自然快了。
2、提供更高细粒度的Index轮转、删除策略。影响Elasticsearch查询性能和资源消耗主要来自于它的分片数的多少,按照一定策略进行删除和关闭,让集群的分片数维持在一定范围内,将很大保证集群的稳定性和查询效率。
Indices配置好之后,Elasticsearch集群几乎不需要人工介入维护,可以做到按需分配、自主清理。
下面开始讲一下如何操作:
(1)在导航栏System/Indices -> Create Index set,创建一个新索引。
(2)创建一个名为4xx_5xx_log的索引,根据线上的情况填入shards、replicas、segments的数量。Select rotation strategy选择Index Time(按时间进行轮转),Rotation period 轮转的时间为P10D(D代表天,H代表小时,M代表月),有兴趣的可以访问 ISO 8601 duration 来了解一下。
(3)我们再往下进行定义Index的清理、保留策略。我们选择Select retention strategy 为Delete Index(删除索引),Max number of indices 选择3个。给大家解释一下就是4xx_5xx_log这个索引只保留3个,也就是3x10D,一个月的日志,点击save保存。
(4)我们在导航栏Streams中创建一个名为4xx_5xx_log的stream,右侧选择More Actions,在Index Set中选择刚才创建的4xx_5xx_log的索引,点击save保存。
(5)在设置一下筛选stream 4xx_5xx_log的条件,status状态值大于399,小于600。这样就完成了日志分类、引流到指定Index的全部过程了。
(6)最后我们返回到System/Indices -> Indices 菜单,点击刚才创建的索引。就能看到新创建的4xx_5xx_log索引详情了。
扫一扫
994
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
