При эксплуатации GrayLog могут возникнуть проблемы с местом на диске для Elasticsearch.
- Elasticsearch nodes disk usage above high watermark
- Journal utilization is too high
- Uncommited messages delted from jorunal
Это случается, когда на диске с журналами остается места меньше 15%, тогда Elastcsearch переходит в режим чтения. Чтобы ситуацию исправить, надо:
- добавить место на диске
или
- настроить ротацию логов в GrayLog
-
Существует 3 стратегии:
- «Index time» — время, которое сообщения индекса будет храниться (например 14 дней для индекса).
- «Index message count» — максимальное количество сообщений индекса (например 20 миллионов сообщений).
- «Index size» — размер индекса в Байтах (например 40 ГБ).
Выбираем стратегию для каждого индекса. Рекомендуемый — временной, т.к. для хранения логов это обычно самый важный критерий. Но если место ограничено, а срок хранения не критичен — можно выбрать «размерный».
Обратите внимание, что в случае выбора стратегии Index Size указывается размер 1 (одного!) индекса, чуть ниже необходимо указать максимальное количество индексов, которые не будут удаляться. А значит на эту цифру надо умножить указанный выше размер.
Ну и конечно, надо учитывать и суммировать все размеры индексов размещенных на ноде/ах Elasticsearch
