ManageEngine\EventLog Analyzer\ES\data\ELA-C1\nodes\0\indices文件夹太大了?
ES中的indices文件夹中存储的是日志数据的索引,当用户在产品UI执行日志搜索时,产品会参考索引文件以检索所需的数据。
当DB retention设置的天数太长,且日志量大的时候,Online live logs太多,索引也会过多,导致indices文件夹很大。
检查DB保留天数:
如果这里的天数不是很长,比如只有30天,那请在浏览器中访问ELA产品URL后面加上rawConfig.do。
比如http://localhost:8400/rawConfig.do#/,确保这里的数字与上面的DB保持一致;不一致时请减少DB保留天数,并观察一天。
所以建议用户启用归档,“归档”和“DB retention”的天数设置得合理一些,才不会影响到产品运行性能。且ELA中归档数据的比例是20:1,可想而知,如果海量数据都是Online live logs,那短时间内磁盘就会占满。
(20:1的意思通俗解释是归档前20KB,归档后是1KB。)
注意:如果用户使用的是Log360,则索引文件夹在ManageEngine\elasticsearch\ES(\data\nodes\0\indices),如果是单独使用的ELA,则索引文件夹如上述所说的ManageEngine\EventLog Analyzer\ES。
Related Articles
EventLog Analyzer\ES\archive和EventLog Analyzer\archive分别是什么文件夹?
EventLog Analyzer中的日志处理经历两个阶段: 第一阶段:收到原始日志数据时,日志保留方式是Online retention(联机保留); 即产品在运行的时候,产品界面UI中显示的那些日志数据是来自EventLog Analyzer\ES\archive。 即下图设置的该天数内的日志数据: 第二阶段:但是日志不能永久通过Online索引,这会影响产品运行性能,这就涉及到第二阶段“Offline retention”(脱机保留); ...EventLog Analyzer安装目录文件夹占用磁盘空间太多
首先我们需要定位是ManageEngine下的EventLog Analyuzer具体哪个文件夹占用了大量的磁盘空间,不一定是产品问题。 以下是可以检查的几个文件夹: 1. 脱机日志数据归档文件夹(即对应的归档处设置的Archives):\ManageEngine\EventLog Analyzer\archive 2. ES文件夹:\ManageEngine\EventLog Analyzer\ES 2.1 ES里面的日志缓存文件夹:\ManageEngine\EventLog ...ManageEngine\EventLog Analyzer\ES\CachedRecord文件夹太大了?
ManageEngine\EventLog Analyzer\ES\CachedRecord文件夹中是缓存的日志数据,即收到了日志,但是在排队等待处理。 引起该文件夹过大的原因有多种: 1.运行ELA的服务器上或者公司内其他专用服务器上的杀毒软件(Antivirus scanner)在扫描ManageEngine文件夹,误把产品运行时产生的如Java文件当成恶意病毒程序,由此影响产品正常运行,日志都在排队处理,却处理不了。 ...EventLog Analyzer-更改日志索引位置
更改索引位置的步骤: - 先停止EventLog Analyzer服务 - 找到/ES/config并找到elasticsearch.yml文件 - 编辑文件的path.data参数,包含新索引位置并保存文件(管理员身份编辑并保存) 举例1:path.data:["./../ES/data"] 示例2:path.data:["C:\\ES\\DATA"] 示例3:path.data:["\\\\Remote_Machinename\\ES\\data\\"]["C:\\ES\\DATA"]EventLog Analyzer中内置的PGSQL数据库都存了什么数据?
ELA的数据库存的是以下信息的元数据:设备信息、报表配置文件、相关性等日志外的数据; ELA的日志数据不存在数据库中,产品中看到的日志(即online live logs)存在ES中,脱机的已被归档的日志存在指定的archives目录中。 请查看EventLog Analyzer安装目录文件夹的知识库文章了解更多信息。