【发布时间】:2015-12-09 22:45:22
【问题描述】:
给定的 logstash 配置可以有多个输入和输出 如果我在 logstash 上使用 twitter 输入,哪些因素会促使我决定将索引数量作为存储在弹性搜索中的输出?
我应该为每个受监控的帐户、每个标签或关键字设置 1 个索引,还是有其他会影响设计的考虑因素?
【问题讨论】:
标签: elasticsearch logstash logstash-configuration
【发布时间】:2015-12-09 22:45:22
【问题描述】:
弹性搜索中每个打开的索引都有开销,所以它们都会消耗 HEAP。
在索引中放置多种类型的文档是很常见的(这就是 [type] 字段的用途)。请注意,在 elasticsearch v2 中,任何同名字段必须具有相同的映射(“myField”,如果是一种类型的字符串,则必须始终是字符串)。
分片有一个推荐的大小上限,大约 60GB IIRC。
最后,安排您的索引,以便轻松执行您的保留政策。如果所有内容都保留 7 天,那么每日索引将运行良好。使用 'curator' 删除旧索引。
我更喜欢创建较少数量的大型索引。
【讨论】:
-
您是否建议为每个帐户、标签和关键字值使用不同的 [type] 还是每个分类使用 1 个?
-
我不熟悉 twitter 流。一般来说,他们说要考虑像数据库表这样的“类型”。希望对您有所帮助。