Работая с kibana, моя команда разработала необходимость хранить крошечное подмножество наших журналов в течение 5 лет (в частности, для всех журналов, которые имеют поле alert). У кого-нибудь есть идеи, как это сделать?
Мы удаляем наши журналы через 7 дней, что обеспечивается политикой ilm, которую мы устанавливаем для наших индексов. Мы хотим сохранить эту политику ilm, но небольшое подмножество нужно сохранять дольше.
Наша установка: мы запускаем kubernetes (1.15.x), запускаем filebeat (7.5.0) в этом кластере kubernetes, который отправляет (и слегка анализирует) наши журналы в индекс (назовем его log_index ) в Elasti c Cloud (7.5.0), и мы отображаем их с помощью Kibana (облако).
Концептуально, я хотел бы экспортировать результаты нашего запроса для предупреждений по индексу log_index в укажите c новый индекс (скажем, alert_index) и настройте ilm для того, чтобы сохранить этот индекс в течение 5 лет. Но я не знаю, возможно ли это или вообще имеет смысл. Любое вдохновение приветствуется!