При эксплуатации GrayLog могут возникнуть проблемы с местом на диске для Elasticsearch.
- Elasticsearch nodes disk usage above high watermark
- Journal utilization is too high
- Uncommited messages delted from jorunal
Это случается, когда на диске с журналами остается места меньше 15%, тогда Elastcsearch переходит в режим чтения. Чтобы ситуацию исправить, надо:
- добавить место на диске
или
- настроить ротацию логов в GrayLog
-
Существует 3 стратегии:
- “Index time” – время, которое сообщения индекса будет храниться (например 14 дней для индекса).
- “Index message count” – максимальное количество сообщений индекса (например 20 миллионов сообщений).
- “Index size” – размер индекса в Байтах (например 40 ГБ).
Выбираем стратегию для каждого индекса. Рекомендуемый – временной, т.к. для хранения логов это обычно самый важный критерий. Но если место ограничено, а срок хранения не критичен – можно выбрать “размерный”.
Обратите внимание, что в случае выбора стратегии Index Size указывается размер 1 (одного!) индекса, чуть ниже необходимо указать максимальное количество индексов, которые не будут удаляться. А значит на эту цифру надо умножить указанный выше размер.
Ну и конечно, надо учитывать и суммировать все размеры индексов размещенных на ноде/ах Elasticsearch
