Rpa 32 号会员
    •  1 回帖  •  1.5K 浏览  •  2018-12-11 16:03:55

Elasticsearch_ 分片配置

在 ueba 系统中,关于 es 分片配置,是通过 curl 命令在创建索引时,插入到分片中的。所以分片数量可以在初始化安装后,进行修改。具体修改步骤如下。

1、确保单机安装 es 后启动正常,并可以通过 web 可以访问 ip:6100/head/

Elasticsearch_ 分片配置

2、删除 5 个索引,在 isearch 用户下执行如下命令(命令在 install.sh 中有,在 elk 安装部分)

Elasticsearch_ 分片配置

3、修改索引配置文件分片数量、备份数量。

执行命令 cd /home/isearch/ueba_7.0/init_data
Elasticsearch_ 分片配置

编辑文件,修改分片数,然后保存,已 ueba-index.txt 为例

其中 share 是分片数量
其中 rplicas 是备份数量

vi ueba-index.txt
Elasticsearch_ 分片配置

修改需要调整的分分片文件。

4、插入分片,在 isearch 用户执行如下命令

Elasticsearch_ 分片配置

5、执行完毕后,通过 web 访问检查分片结果

Elasticsearch_ 分片配置

6、如果需要部署集群,需要将上面 5 个步骤,逐一执行一次,保证所有单机服务器中,每个索引的分片数量是相同的。

比如 ueba-log-index 这个索引,在 2 台服务器中的分片配置需要相同。