Как вручную очистить данные от Graylog 2.1

Question

У меня есть сервер Graylog 2.1, который работает некоторое время. В последнее время я не обратил внимания на мой коэффициент удержания и пришел сегодня утром, чтобы найти Graylog, частично разбившегося, потому что диск был вне пространства. Почти 100% дискового пространства в настоящее время занято Elasticsearch Shards. Веб-интерфейс для Graylog в настоящее время не используется в состоянии, в котором он находится. Я попробовал некоторые из стандартных трюков Ubuntu для освобождения дискового пространства, такого как apt-get autoremove и clean, но не смог получить достаточно, чтобы получить функциональность веб-интерфейса.

Проблема заключается в том, что вся документация, которую я могу найти в настоящее время для изменения скорости удержания и циклирования черепов, осуществляется через веб-интерфейс. Единственные параметры конфигурации больше не отображаются в конфигурационном файле Graylog.

Кто-нибудь знает о руководстве, CLI, способе очистки данных от обломков Elasticsearch в Graylog 2.1?

Answer 1

Первая помощь: проверьте, какие индексы присутствуют:

curl http://localhost:9200/_cat/indices 

Затем удалите старые индексы (вы не должны удалить все)

curl -XDELETE http://localhost:9200/graylog_1 
curl -XDELETE http://localhost:9200/graylog_2 
curl -XDELETE http://localhost:9200/graylog_3 

Fix: Вы можете уменьшить параметр elasticsearch_max_number_of_indices в /etc/graylog/server/server.conf для значения, соответствующего вашему диску.

Answer 2

Если Elasticsearch все еще запущен, вы можете просто удалить индексы с помощью Delete Index API, который после использования Graylog напрямую (страница System/Indices в веб-интерфейсе) является предпочтительным способом избавиться от индексов Elasticsearch.

Если вы полностью завинчены (то есть ни Graylog, ни Elasticsearch не начинаются), вы можете удалить все данные из пути данных Elasticsearch (см. Directory Layout).