Pas d'accord. ES est tellement plus gourmand, en stockage, IO et CPU,
par rapport à une time-series basique, que c'est totalement
disproportionné.
Désolé mon petit José mais je crois qu'on confond un peu tout la ;)
ES et une TSDB ce sont bien évidement deux type d'outils complètement
différends qui sont parfois employé/dévoyé de leur fonction originale.
En très gros résumé :
- on stocke des métriques dans un tsdb et on fait des graphs et de
l'alerting avec. Prometheux/Influxdb sont les candidats du moment.
- on on stocke des documents indexés dans ES, parfait pour stocker des
logs structurés et faire des queries dedans.
Ce qui embrouille tout c'est que l'on essaye de faire des graphs et de
l'alerting avec des logs, ce qui est théoriquement assez faux.
C'est pratique à mettre en place et exploitable à petite échelle, mais à
mon avis pas satisfaisant dès que tu as une vraie prod. Et je suis
vraiment preneur d'avis dessus, vu que je vais devoir y bosser à nouveau
prochainement.
ES est le truc le plus scalable du monde. Je connais des petites société
smart qui exploitent sereinement des clusters de plusieurs Peta.
Reste à assurer la corrélation d’évènements, et le déclenchement
d'alertes sur certains combos, mais là on rentre dans du compliqué.
Tendance obligatoirement du code custom. Sauf si vous avez trouvé autre
chose ?
Comme je disais il ne faut pas. Il faudrait plutôt commencer par
transformer tes logs/déclencheurs en métriques. Après tout devient plus
clair.
Cdt,
--
Raphael Mazelier
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
