單個節點的多個Elasticsearch索引

Question

我使用Elasticsearch作爲集中式日誌記錄平臺。大多數例子顯示我已經登錄到多個索引，每天都有時間戳（例如logmessages-2017-04-14）

但是，我只有一個包含所有這些日常索引的節點設置。在單個節點上登錄到單個logmessages索引會更好嗎？

由於我只有一個節點，我將副本設置爲0，對於每個每日索引，碎片設置爲1。我每月索引大約100,000個文檔。

Answer 1

答案是「no」。

日誌記錄用例始終有一個保留期限定義，這意味着一段時間後不再需要這些日誌，並且需要刪除它們。這與Elasticsearch索引相同：在達到保留期限後，刪除日誌。

使用基於時間的索引，可以刪除一天的索引，就是這樣。刪除整個索引比索引中的單個文檔要好得多。