标签: elasticsearch
当使用具有针对调试日志和审核日志的单独索引的EFK堆栈时,是否有更安全/更清洁的实践而不是运行curator来定期修剪我的调试日志(这将是膨胀)同时保留敏感的审计日志很长(无限期)持续时间?
换句话说,我正在考虑在cron作业上运行策展人,并通过使用预先安排的命名约定过滤基于时间的索引来定期修剪旧的调试跟踪,以区分 audit 和调试
我可以看到的替代方案是两个独立的弹性搜索集群(一个用于审计,一个用于调试),感觉有点太重,无法暂时保留调试日志几天。