NA
как и при запросе к любой СУБД
Size: a a a
2020 November 12
i
о каком размере суточного индекса идет речь
а где в минимальных требованиях ограничения на размер суточного индекса и период, по которому разрешено при этом выполнять запросы?
NA
а где в минимальных требованиях ограничения на размер суточного индекса и период, по которому разрешено при этом выполнять запросы?
это не явно следует из максимального EPS
e
а где в минимальных требованиях ограничения на размер суточного индекса и период, по которому разрешено при этом выполнять запросы?
Есть ограничение на количество активных индексов, из него можно примерно посчитать размер одного индекса при общем объеме в 20Тб.
i
это не явно следует из максимального EPS
каким таким образом? я могу 20тб индексов и на 20 епсах набрать.
NA
К примеру в живой инфре 25К EPS дают 1.5-2 ТБ индекс в сутки
NA
каким таким образом? я могу 20тб индексов и на 20 епсах набрать.
нет
NA
вы не сможете протолкнуть событие больше 8КБ
i
К примеру в живой инфре 25К EPS дают 1.5-2 ТБ индекс в сутки
а что, вендор настраивает сием не по рекомендациям вендора? у вас raw включен, судя по объему индекса.
NA
ну, по raw теперь можно искать :) почему бы не хранить
i
Есть ограничение на количество активных индексов, из него можно примерно посчитать размер одного индекса при общем объеме в 20Тб.
встроенное в SIEM?
i
ну, по raw теперь можно искать :) почему бы не хранить
highload подразумевает отключение raw. конфигурация, о минимальных требованиях которой идёт речь - именно высоконагруженная.
e
встроенное в SIEM?
Есть значение время жизни индекса до архивации, заданное в утилите ротации.
+ были рекомендации в гайде
+ были рекомендации в гайде
NA
это лишь упрощает ваш кейс, значит будет не 2 ТБ индекс, а 1-1.2 ТБ. ES будет еще легче, нагрузка на диск еще меньше
NA
давайте дальше упрощать :) мы щас с вами так и на перфокартах ES запустим
i
Есть значение время жизни индекса до архивации, заданное в утилите ротации.
+ были рекомендации в гайде
+ были рекомендации в гайде
ну то есть проще говоря, ничто мне не помешает набить те самые 20 тб индексами любого объема
i
это лишь упрощает ваш кейс, значит будет не 2 ТБ индекс, а 1-1.2 ТБ. ES будет еще легче, нагрузка на диск еще меньше
это никак не отменит того, что на 20тб производительности дисковой подсистемы на дисках 7200 в рейд10 хватать не будет для стабильной работы ES.
NA
Raid 10
NA
+ кэши дисков итого 1600 IOPS выдает RAID
i
да даже 50