Contrairement aux index générés par Logstash, je n'arrive pas à gérer les indices systèmes type ".monitoring-" via les ILP. J'ai systématiquement des erreurs avec les rollover_alias. Si je le définis dans le template de l'ilm, j'ai une erreur indiquant que le rollover_alias ne pointe pas sur l'index. Quelle est la meilleur manière de supprimer les indices système type ".monitoring-" avec les ILP (ex: au delà d'un semaine) ? Dois-je utiliser encore Curator ?
Contrairement à l'index .kibana, ces indices sont créés quotidiennement car ils contiennent des données de surveillance chronologiques sur les performances d'Elasticsearch. Les supprimer n'aura aucun impact sur vos autres indices. Je pense (je ne pourrais pas le tester car je n'ai pas le pack x-pack) que vous pouvez utiliser /.monitoring-* pour supprimer uniquement ces indices. Mais cela dit, ils devront consommer peu de stockage / memoire.
You can configure xpack.monitoring.history.durationparameter. This is the retention duration beyond which the indices created by a Monitoring exporter are automatically deleted. Defaults to 7d (7 days). This setting has a minimum value of 1d (1 day) to ensure that something is being monitored, and it cannot be disabled. This setting currently only impacts local -type exporters. Indices created using the http exporter will not be deleted automatically.
Oui, c'est entendu. C'est surtout pour le contrôle de la volumétrie du nœud Elasticsearch (1 pour l'instant). Nous ingérons les event ID sécurité Windows de quatre AD. Merci !
@ropc Hi,
Thank you for the tips. I didn't see this info through the documentation. I already use Curator to manage these indices with an ELK stack v6.5. I'll set up this parameter.
Apache, Apache Lucene, Apache Hadoop, Hadoop, HDFS and the yellow elephant
logo are trademarks of the
Apache Software Foundation
in the United States and/or other countries.