单个节点的多个Elasticsearch索引

Question

我使用Elasticsearch作为集中式日志记录平台。大多数例子显示我已经登录到多个索引，每天都有时间戳（例如logmessages-2017-04-14）

但是，我只有一个包含所有这些日常索引的节点设置。在单个节点上登录到单个logmessages索引会更好吗？

由于我只有一个节点，我将副本设置为0，对于每个每日索引，碎片设置为1。我每月索引大约100,000个文档。

Answer 1

答案是“no”。

日志记录用例始终有一个保留期限定义，这意味着一段时间后不再需要这些日志，并且需要删除它们。这与Elasticsearch索引相同：在达到保留期限后，删除日志。

使用基于时间的索引，可以删除一天的索引，就是这样。删除整个索引比索引中的单个文档要好得多。