ML используется ? мускул протоколируется полностью или как написал другой участник слоулоги?

типичный пример - СБ просит логировать, но из-за больших объемов (например ~150 гиг в сутки) не успевает их анализировать. Из-за этого мы вынуждены доверять машине не только сбор, но и тренд-анализ

пока что с помощью штатного ML

а searchguard не используете?

не используем, используем x-pack

не понял вашего вопроса

Использую кластер из 6 год каждая на свой Вирт машине в сфере. На каждой ноде 12 процессоров и 32 оперативки. В кластере 4 дата ноды, две клиентские с логсташем. На одной из них ещё и кибана. Первый логсташ собирает логи mysql и nginx. Логи приложений идут напрямую в эластик. Второй логсташ собирает только netflow, ибо модуль требует своего логсташа да и netflow требователен к ресурсам. В общем все вместе занимает почти 800 гигов. Самые ёмкие логи это mysql. Ну и я думаю, что где-то у меня что-то лишнее есть, поэтому такой объем. Назначения два, это логи для программистов и мониторинг происходящего в сети с графиками и красотой

такая опция не встречалась , в нашем случае перед kiban-ой установлен nginx

дата лежит на локальных дисках или это внешний схд ?

и туда же скормлен ключ для x-pack уже?

если сказать проще, то x-pack имеет полноценную лицензию и установлен в соответствии с мануалом

ага. спасибо

если что, мануал по установке x-pack прикреплен в шапке канала 😉

если что, мануал по установке x-pack прикреплен в шапке канала 😉

и после обновления же надо будет это еще раз делать?