Столкнулся с проблемой, после переполнения диска с базой и восстановление объема, Graylog не реагирует на восстановление места на диске. В поиске видно только старые записи, но новых нет.

Проблема заключается в том, что при переполнении места бьется Index. И даже если создать ротацию, в новый индекс ничего писаться не будет.

Решение:

Необходимо удалить битый индекс через API.

Выводим список индексов:

curl http://localhost:9200/_cat/indices

Битый обычно один из самый последний в нумерации, запоминаем номер и удаляем, подставив его вместо «graylog_index_number» :

curl -XDELETE http://localhost:9200/graylog_index_number

Теперь индекс удаляет, но в базе MongoDB осталось информация о нём. Это может привести к тому, что запуске Search система будет ругаться на то, что удаленный индекс не может обнаружить.

Если такая ситуация имеет место быть, вычищаем информацию из базы:

mongo --port 27017
use graylog;
db.index_ranges.drop()

После этого возможно понадобится зайти в System — Indices и сделать Recalculate index ranges