Почему graylog2 удаляет старые знаки?
Согласно http://docs.graylog.org/en/1.3/pages/index_model.html , graylog2 удаляет старые индикаторы на основе "elasticsearch_max_number_of_indices".
Почему можно 't graylog2 разрешить нет. индикаторов для роста?
Кроме того, согласно той же странице выше,
Вы настроили максимальное количество индексов в своем graylog.conf (elasticsearch_max_number_of_indices). Когда это число будет достигнуто, самые старые индексы будут автоматически удалены. Удаление выполняется главным узлом graylog-server в фоновом процессе который постоянно сравнивает фактическое количество индексов с настроенный максимум
graylog-server постоянно удаляет индикаторы, поэтому, если бы я восстановил старый индекс, когда мы уже достигли максимального elasticsearch_max_number_of_indices , вытолкнет ли это один из существующих?
Ответ прост: для экономии места и памяти. Если вы сохраните все, у вас в какой-то момент закончится место. Каждый индекс также требует определенного количества памяти, поэтому открытие большего количества индексов приведет к тому, что в конечном итоге у кластера закончится ОЗУ. Эта функция - простой способ настроить, сколько места должно занимать Graylog. Если вы хотите сохранить больше индексов, просто увеличьте количество максимальных индексов.
Индексы пронумерованы последовательно, и вы можете восстановить более старый индекс и получить к нему доступ, если это действительно необходимо.