Le 1 octobre 2013 18:50, Kevin Decherf <kevin@kdecherf.com> a écrit :

On Mon, Sep 30, 2013 at 05:26:19PM +0200, Remi Paulmier wrote:
>
> J'envisage de séparer les différents types de log dans des index
> différents, afin de régler un historique différent par type de log (http vs
> syslog par exemple).

Hello,

Par curiosité, tu utilises l'output elasticsearch ou elasticsearch_http ?

Hello,

j'utilise l'output elasticsearch qui est donné comme étant plus performant que son pendant http. Ce faisant, l'instance logstash fait réellement partie du cluster ES et intéragit mieux avec les autres noeuds.

Principal inconvénient: cet output impose une version précise d'ES sur le cluster (ce que j'ai choisi de respecter à la lettre: je n'ai pas tenté avec une version non préconisée).

De plus, j'utilise le plugin cloud-aws pour trouver le cluster ES dans AWS, il faut donc tuner un peu logstash pour utiliser ES de cette facon.

Pourquoi baser l'historique sur la création d'index quotidiens ?

Sur ce point, je ne suis pas sur de comprendre la question. Si je ne sépare pas les données jour par jour dans un index quotidien, l'index grossira beaucoup trop fortement et ES ne tiendra pas. Si j'ai mal compris ta question, peux-tu reformuler ?

rémi