ranger_audits更换审计日志保留时间
本次测试集群为:
hdp: 3.1.5.0-152
Infra Solr: 0.1.0
Ranger: 1.2.0.3.1
修改Solr 的中ranger_audits 数据保留时长
HDP、CDP中Ranger 的审计日志数据默认存储在Solr 的ranger_audits 中,默认的保留时长为90天,对于一个操作频繁的集群90天的保留时长的数据量会相当的大,并且数据量一大也会导致在Ranger 中查看审计信息日志变慢,建议在缩短数据保留时长,比如7天。具体修改操作步骤如下
hdp进入rangeradmin的节点 打开以下文件:
vim /usr/hdp/3.1.5.0-152/ranger-admin/contrib/solr_for_audit_setup/conf/solrconfig.xml
找到如下配置,将保留数据时长修改为15天
<str name="fieldName">_ttl_</str>
<str name="value">+15DAYS</str>
需要注意的是关于这个保留时间是存在zk中的。
需要把更改的文件上传到zk中
java -classpath .:/usr/lib/ambari-infra-solr/server/solr-webapp/webapp/WEB-INF/lib/* org.apache.solr.cloud.ZkCLI -cmd upconfig -zkhost hdp01:2181/infra-solr -confdir /usr/hdp/3.1.5.0-152/ranger-admin/contrib/solr_for_audit_setup/conf/ -confname ranger_audits
然后重启Solr生效,rangeradmin界面查看配置文件,查看是否已生效
注意:更改配置和重新加载集合后新添加的文档将被自动删除。但是对于修改配置以前的数据文件需要通过命令手动删除,如下
curl -v --negotiate -u : "hdp01:8886/solr/ranger_audits/update?commit=true" -H "Content-Type: text/xml" --data-binary "<delete><query>evtTime:[* TO NOW-0DAYS]</query></delete>"
