Přeskočit obsah

LogMan.io Depositor

TeskaLabs LogMan.io Depositor je mikroslužba zodpovědná za ukládání událostí v Elasticsearch a nastavování Elasticsearch artefaktů (jako jsou indexové šablony a ILM politiky) na základě deklarací event lane. LogMan.io Depositor ukládá úspěšně zpracované nebo korelované události a další události do jejich příslušných Elasticsearch indexů.

Poznámka

LogMan.io Depositor nahrazuje LogMan.io Dispatcher.

Důležité poznámky

Požadavky a konfigurace

  • Depositor vyžaduje specifické nastavení Elasticsearch s definovanými rolami uzlů, viz Požadavky
  • Depositorova výchozí životnostní politika vyžaduje nastavení rolí uzlů v konfiguraci Elasticsearch, viz Požadavky
  • Depositor výchozí přestane posílat data do Elasticsearch, pokud je zdraví clusteru pod 50 %, viz Konfigurace
  • Depositor bere v úvahu všechny event lane soubory bez ohledu na to, zda jsou pro daného tenanta v UI deaktivovány či nikoli

Správa indexů

  • Depositor vytváří svou vlastní indexovou šablonu a životnostní politiku (ILM) pro každý index specifikovaný v sekcích events a others uvnitř deklarace event lane, viz Event Lane
  • Depositorova výchozí indexová šablona má 6 shardů a 1 repliku
  • Mapování polí (typy polí) v indexové šabloně vychází ze schématu, které je ve výchozím nastavení /Schemas/ECS.yaml, pokud není uvedeno jinak v konfiguraci nebo event lane, viz Event Lane

Podrobnosti o životnostní politice

  • Depositorova výchozí životnostní politika má limit 16 GB na primární shard na index (výchozí maximální velikost indexu je tedy 6 shardů * 16 GB * 2 pro repliku = 192 GB)
  • Depositorova výchozí životnostní politika má povoleno zmenšování při vstupu do teplé fáze
  • Depositorova výchozí životnostní politika smaže data po 180 dnech

Migrace

  • Při migraci z LogMan.io Dispatcher na LogMan.io Depositor, viz sekci Migrace