Elasticsearch_ 分片配置

在 ueba 系统中,关于 es 分片配置,是通过 curl 命令在创建索引时,插入到分片中的。所以分片数量可以在初始化安装后,进行修改。具体修改步骤如下。

1、确保单机安装 es 后启动正常,并可以通过 web 可以访问 ip:6100/head/

0f814fcf4f8743acbf4cdf8cb2757b83_image.png

2、删除 5 个索引,在 isearch 用户下执行如下命令(命令在 install.sh 中有,在 elk 安装部分)

75988f8a0426478aa44dc946b3911f39_image.png

3、修改索引配置文件分片数量、备份数量。

执行命令 cd /home/isearch/ueba_7.0/init_data
b0c5b1333df64bb5a9b5f07e6fa1a806_image.png

编辑文件,修改分片数,然后保存,已 ueba-index.txt 为例

其中 share 是分片数量
其中 rplicas 是备份数量

vi ueba-index.txt
55a13b9233a2402f8b7e8b15292d1eb2_image.png

修改需要调整的分分片文件。

4、插入分片,在 isearch 用户执行如下命令

ba2d8d85f6f345b8b81204b693932e4d_image.png

5、执行完毕后,通过 web 访问检查分片结果

428fd73537394ce6bce77d85538d7c43_image.png

6、如果需要部署集群,需要将上面 5 个步骤,逐一执行一次,保证所有单机服务器中,每个索引的分片数量是相同的。

比如 ueba-log-index 这个索引,在 2 台服务器中的分片配置需要相同。