从elasticSearch归档日志文件并将其带回，以最大限度地降低存储成本

Question

我需要一些有经验的人的答案，因为这是我第一次使用弹性堆栈(实习期)。假设我注入了日志(来自多个服务器apache nginx ...)在elasticsearch中，可以肯定的是，在一个月或更短的时间内，elesaticsearch会被日志填满，这在存储和性能方面将非常昂贵，所以我需要设置一个限制(假设当日志量达到100 if时)，我需要从elasticsearch中删除它们，以便为新传入的日志释放一些空间，但我应该保留旧日志，而不仅仅是删除它们(我用谷歌搜索了一些解决方案，但所有这些都是关于删除旧日志以释放空间，在我的情况下，这没有帮助)，并在需要时将这些旧日志带回elasticsearch。我的问题是有一种方法(一种在成本和性能方面的最佳方法，比如压缩旧日志或其他东西)来以最小的成本绕过这个问题。

Answer 1

您可以将快照和恢复功能与自定义存储库配合使用，以卸载旧数据并在需要时检索旧数据。请尝试以下指南：https://www.elastic.co/guide/en/kibana/7.5/snapshot-restore-tutorial.html