其實這篇的內容有在先前的文章中提過，但由於篇幅關係只有簡短帶過。
今天來補充 Graylog 日誌的 rotation / retention 較為詳細的概念。

核心概念

• 輪轉（Rotation）：將已寫入的索引關閉並新建，避免單一索引過大影響效能。
• 保留（Retention）：根據策略自動清理過舊索引，釋放磁碟空間。
• Data Tiering：將索引自動分層（僅熱層），透過「最小／最大保留天數」與「最佳分片大小」決定輪轉時機。

Data Tiering 策略設定

在 Graylog 6.3 中，建議使用 Data Tiering 而非已棄用的 Legacy 模式。
Data Tiering 的關鍵參數：

• Min. days in storage（最小保留天數）：索引至少保持此天數，不得輪轉。
• Max. days in storage（最大保留天數）：達此天數必定輪轉。

輪轉邏輯示例（Min=7、Max=30）

Day 1–6：絕不輪轉  
Day 7–29：若索引大小達到 20–50 GB，系統會在此期間動態判斷最佳輪轉時機  
Day 30：強制輪轉  

此機制可平衡分片大小與寫入、查詢效能。

保留策略

Graylog Open 6.3 僅支援 Delete Index（刪除索引）策略：

• Delete：索引及其內所有日誌訊息將 永久刪除，並釋放存儲空間。
• 無 Close、Archive 選項；Warm／Archive 層僅限 Enterprise 版。

設定步驟

1. 於 System → Indices 選擇目標 Index Set。
2. 點擊 Edit，切換至 Rotation & Retention。
3. Rotation Strategy 選 Data Tiering；輸入 Min/Max 天數。
4. Retention Strategy 選 Delete Index。
5. 儲存設定，新索引自動依策略輪轉與刪除。

實務建議

• Min/Max 天數：依業務查詢頻率與儲存成本平衡設定，例如每日輪轉可設 Min=1。
• 磁碟監控：設定告警（如 80%）避免空間不足導致索引失敗。
• 備份快照：若需長期審計，建議建立 Opensearch 快照，否則刪除索引後資料無法恢復。
• 測試驗證：先於測試環境調整參數，確認輪轉與刪除行為符合預期。