EventLog Analyzer\ES\archive和EventLog Analyzer\archive分别是什么文件夹?
EventLog Analyzer中的日志处理经历两个阶段:
第一阶段:收到原始日志数据时,日志保留方式是Online retention(联机保留);
即产品在运行的时候,产品界面UI中显示的那些日志数据是来自EventLog Analyzer\ES\archive。
即下图设置的该天数内的日志数据:
第二阶段:但是日志不能永久通过Online索引,这会影响产品运行性能,这就涉及到第二阶段“Offline retention”(脱机保留);
即对于处理过的日志,可以保存在磁盘中指定的某个目录,当需要再次在产品中查看的时候再“加载”归档文件即可。
下图是脱机日志的归档路径设置,默认的是EventLog Analyzer\archive:
综上,举例,如果用户需要保留日志最少为6个月(对某行业的IT合规性要求),那建议用户在EventLog Analyzer\archive处设置的“归档保留天数”最少为6个月,不建议设置DB retention的天数为180天,可以设置为30天(取决于客户的日志流量、磁盘空间或其他服务器性能指标)。
那如果用户又需要查看30天以前的日志数据,因为EventLog Analyzer\ES\archive中的live logs已被删除,所以需要在EventLog Analyzer\archive中点击“加载归档”查看;查看完后,可以手动点击“卸载归档”立即再次归档加载过的这个归档文件,或者不手动点击“卸载归档”的话,产品会在7天之后(如果没有更改归档文件保留天数的设置 )自动把这个日志文件再归档到EventLog Analyzer\archive。
Related Articles
ManageEngine\EventLog Analyzer\ES\data\ELA-C1\nodes\0\indices文件夹太大了?
ES中的indices文件夹中存储的是日志数据的索引,当用户在产品UI执行日志搜索时,产品会参考索引文件以检索所需的数据。 当DB retention设置的天数太长,且日志量大的时候,Online live logs太多,索引也会过多,导致indices文件夹很大。 检查DB保留天数: 如果这里的天数不是很长,比如只有30天,那请在浏览器中访问ELA产品URL后面加上rawConfig.do。 ...EventLog Analyzer安装目录文件夹占用磁盘空间太多
首先我们需要定位是ManageEngine下的EventLog Analyuzer具体哪个文件夹占用了大量的磁盘空间,不一定是产品问题。 以下是可以检查的几个文件夹: 1. 脱机日志数据归档文件夹(即对应的归档处设置的Archives):\ManageEngine\EventLog Analyzer\archive 2. ES文件夹:\ManageEngine\EventLog Analyzer\ES 2.1 ES里面的日志缓存文件夹:\ManageEngine\EventLog ...EventLog Analyzer中内置的PGSQL数据库都存了什么数据?
ELA的数据库存的是以下信息的元数据:设备信息、报表配置文件、相关性等日志外的数据; ELA的日志数据不存在数据库中,产品中看到的日志(即online live logs)存在ES中,脱机的已被归档的日志存在指定的archives目录中。 请查看EventLog Analyzer安装目录文件夹的知识库文章了解更多信息。ManageEngine\EventLog Analyzer\ES\CachedRecord文件夹太大了?
ManageEngine\EventLog Analyzer\ES\CachedRecord文件夹中是缓存的日志数据,即收到了日志,但是在排队等待处理。 引起该文件夹过大的原因有多种: 1.运行ELA的服务器上或者公司内其他专用服务器上的杀毒软件(Antivirus scanner)在扫描ManageEngine文件夹,误把产品运行时产生的如Java文件当成恶意病毒程序,由此影响产品正常运行,日志都在排队处理,却处理不了。 ...EventLog Analyzer-更改日志索引位置
更改索引位置的步骤: - 先停止EventLog Analyzer服务 - 找到/ES/config并找到elasticsearch.yml文件 - 编辑文件的path.data参数,包含新索引位置并保存文件(管理员身份编辑并保存) 举例1:path.data:["./../ES/data"] 示例2:path.data:["C:\\ES\\DATA"] 示例3:path.data:["\\\\Remote_Machinename\\ES\\data\\"]["C:\\ES\\DATA"]