Как вручную удалить данные из Graylog 2.1

У меня есть сервер Graylog 2.1, который работает уже некоторое время. В последнее время я не обращал внимания на уровень удержания и пришел сегодня утром и обнаружил, что Graylog частично завис из-за того, что на диске не хватило места. В настоящее время Elasticsearch Shards занимает почти 100% дискового пространства. Веб-интерфейс для Graylog в настоящее время нельзя использовать в том состоянии, в котором он находится. Я попробовал некоторые стандартные приемы Ubuntu для освобождения дискового пространства, такие как apt-get autoremove и clean, но не смог получить достаточно, чтобы веб-интерфейс работал.

Проблема в том, что вся документация, которую я могу найти в настоящее время для изменения скорости хранения и циклирования осколков, находится через веб-интерфейс. Единственные параметры конфигурации больше не отображаются в файле конфигурации Graylog.

Кто-нибудь знает о руководстве, CLI, способе очистки данных из осколков Elasticsearch в Graylog 2.1?


graylog graylog2 elasticsearch
person Ben Sooter    schedule 15.09.2016    source источник

Ответы (4)


arrow_upward
10
arrow_downward

Первая помощь: проверьте, какие индексы присутствуют:

curl http://localhost:9200/_cat/indices

Затем удалите самые старые индексы (все удалять не стоит)

curl -XDELETE http://localhost:9200/graylog_1
curl -XDELETE http://localhost:9200/graylog_2
curl -XDELETE http://localhost:9200/graylog_3

Исправлено. Затем вы можете уменьшить параметр elasticsearch_max_number_of_indices в файле /etc/graylog/server/server.conf до значения, подходящего для вашего диска.

person bbaassssiiee    schedule 06.12.2016

arrow_upward
4
arrow_downward

Если Elasticsearch все еще запущен, вы можете просто удалить индексы с помощью Удалить индексный API, который после непосредственного использования Graylog (страница Система/Индексы в веб-интерфейсе) является предпочтительным способом избавления от индексов Elasticsearch.

Если вы полностью облажались (т. е. ни Graylog, ни Elasticsearch не запускаются), вы все равно можете удалить полные данные из пути данных Elasticsearch (см. Макет каталога).

person joschi    schedule 15.09.2016
comment
Я пошел к физическим осколкам, которые находились под /var/lib/elasticsearch/data, нашел самые старые осколки серого журнала и в итоге удалил два из них, чтобы освободить несколько ГБ места. Это освободило достаточно места, чтобы все заработало, и позволило мне изменить политику хранения через веб-интерфейс. Спасибо. - person Ben Sooter; 16.09.2016

arrow_upward
1
arrow_downward

В панели администратора Graylog есть список индексов,

"/система/индексы"

Для каждого индекса есть кнопка удаления. Вы можете проверить старые индексы и удалить их, если они не нужны.

Вы также можете удалить файлы журналов старше 7 дней из эластичного поиска,

sudo find /var/log/elasticsearch/ -type f -mtime +7 -delete
person Hemant Thorat    schedule 18.07.2018

arrow_upward
0
arrow_downward

Вы должны настроить стратегию удержания из Graylog. Если вы сами управляете индексами и удаляете неправильный индекс, вы можете сломайте свой серый журнал.

Зайдите в систему/индексы. Выберите набор индексов по умолчанию. Выберите изменить набор индексов, и там вы найдете чередование и сохранение индексов.

person sirolf2009    schedule 02.10.2018