Планирую развернуть кластер Graylog и пока остановился на такой архитектуре:
3 ноды Graylog + MongoDB
3 Мастер ноды ES
3 Дата ноды ES (на 1 индекс планирую 2 Shard и 2 реплики)
В процессе чтения доков по ES, задумался над внедрением Hot/Warm архитектуры, но чтот не пойму, как это всё подружить с Graylog... никто случайно не поднимал такое чудо?
Ну и появился вопрос, можно ли при такой архитектуре настроить так, что когда место на дисковом разделе будет заканчиваться, то наиболее старые индексы улетали на cold ноду?
ILM все равно, кто пишет в elasticsearch (beats, logstash или graylog). Главное, чтобы писалось все через алиас.
Нет, но можно задать rollover по размеру индекса, и если задать максимальный размер для всех индексов так, чтобы они заполняли диск, то можно добиться похожего результата, в какой-то степени.
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant
logo are trademarks of the
Apache Software Foundation
in the United States and/or other countries.