原本是設定
Max. days in storage
180
Min. days in storage
60
主觀認知是能查到60天內的資料 超過60天系統會封存 但應該還是能查到
但事實上超過60天就查不到資料了
為了符合法規規定 所以現在改成
Max. days in storage
181
Min. days in storage
180
覺得舊版的方式比較好
能自己決定几天後就把 index close
然後再看狀況手動去砍
認真查了一下才發現graylog現在分成了三個版本
open的這個版本現在大幅減少支援的功能
為了解決以上的問題
看來只能定期手動或用crontab去close index
shell 如下
for i in {171..180}
do
echo $i
curl -u use:passwd -XPOST "http://10.0.0.1:9200/graylog_$i/_close"
done
目前觀察大約是每二天會 index rotate 一次
需要查詢舊資料時再打開
curl -v -X POST -H "Content-Type: application/json" -H "X-Requested-By: XMLHttpRequest" -u user:passwd http://10.0.0.1:9000/api/system/indexer/indices/graylog_245/reopen
沒有留言:
張貼留言