On Wed, Oct 02, 2013 at 01:10:48PM +0200, Remi Paulmier wrote:
j'utilise l'output elasticsearch qui est donné comme étant plus performant que son pendant http. Ce faisant, l'instance logstash fait réellement partie du cluster ES et intéragit mieux avec les autres noeuds.
Intéressant, la dernière fois que j'ai utilisé l'output elasticsearch le client plombait le cluster toutes les heures (pour un débit relativement faible), et je n'ai eu aucun problème avec elasticsearch_http (et je suis libre dans mon choix de version du coup).
Pourquoi baser l'historique sur la création d'index quotidiens ?
Sur ce point, je ne suis pas sur de comprendre la question. Si je ne sépare pas les données jour par jour dans un index quotidien, l'index grossira beaucoup trop fortement et ES ne tiendra pas. Si j'ai mal compris ta question, peux-tu reformuler ?
J'ai fait le choix d'avoir un ttl sur les documents plutôt qu'avoir x indices, je trouvais ça plus simple. Mais là aussi le volume doit y être pour beaucoup.