問題タブ [graylog2]

現在、logstash を使用して、さまざまな Web アプリケーションから多数のログ ファイルを Graylog にインポートしています。ファイルがタグ付けされているのでうまく機能するので、それらがどのWebアプリケーションから発信されたかがわかります。

webapp を変更できないため、webapp の log4j conf に GELF アペンダーを追加できません。アイデアは、定期的にログ ファイルを取得し、それらを解析して、logstash で Graylog にインポートすることです。

私の問題は、既にインポートしたログ イベントをインポートしないようにするにはどうすればよいかということです。たとえば、log.1、log.2 などのように増加するログ パターンを持つログ ファイルがあるとします。そのため、初回と 2 週間後に再インポートすると、log.1 に記録される可能性のあるログ イベントが記録されます。それらはおそらくlog.3にあるでしょう。残念ながら、logstash のファイル入力 "sincedb_path" と "start_position" ではそれを処理できません。

そこで、私が集めたいくつかのオプションを以下に示します。誰かが同じ問題に遭遇した場合は、それらについてご意見をお聞かせください。

• 特定の日付より前のすべてのイベントをドロップする logstash フィルターを使用します。インポートされたすべてのファイル (潜在的に 50 以上) のすべての最後のログ日付のインデックスを保持する必要があり、多くの構成書き込みが必要です。
• GrayLog で drool ルールを使用して、特定のタイプで最後に受信したログよりも前のタイムスタンプを持つログを拒否する
• ファイルの名前を変更するログ パターンではなく、log.date のようなログ パターンに変更するように依頼します (ただし、これは避けたいと思います)。
• 他のアイデアはありますか？

Drupal からのデータを syslog から Graylog に保存しています。重大度 (Graylog がレベルと呼んでいるもの) に基づいてすべてのメッセージを検索したいと思います。

これは、「レベル」フィールドを示すいくつかのメッセージのスクリーンショットです。これらはすべて通知ですが、入力した検索では、レベル フィールドではなく、メッセージ フィールドに「通知」という単語が見つかりました。

本番のグレイログ システムで奇妙な動作が発生しています。graylog サーバーがデフレクターを循環させるたびに (インデックスごとに 250 万のドキュメントの制限があります)、メッセージのインデックス作成を停止し、多くのインデックス作成エラーを発生させます。

ログから、ディフレクター インデックスを作成できなかったという情報が得られましたが、それ以上の詳細はありません。その後、Graylog は引き続き受信メッセージを古いインデックスに書き込もうとするため、インデックス作成エラーが発生します。

カーネル 3.10.77-1.el6.elrepo.x86_64 を使用して、CentOS 6.6 x86_64 で graylog 1.0.2 と elasticsearch 1.4.5 を実行しています。

デバッグに約 2 日を費やしたので、助けていただければ幸いです。バグ チケットを作成する必要があるかもしれません。

ご協力いただきありがとうございます！

セバスチャン

多数のアプリケーションを実行しており、それらのログを 1 つの Graylog サーバーにプッシュしたいと考えています。多くのコンソール アプリケーションと多くの Web サイトがあります。

Web サイトのログには通常、BrowserAgent、URL などのデータがあります。コンソール アプリケーションには、他の種類のデータがあります。

これらすべてのアプリケーションから 1 つの Graylog インデックスにログを記録することは良い考えですか? 各アプリケーションには独自の「ApplicationName」があるため、理論的には検索でログを互いに区別することができます。すべての情報を 1 か所で検索できる利点を活用したいと考えています。

私は2つのことを心配しています：

• すべての会社のアプリケーションが 1 つの場所にログインしているため、インデックスが大きすぎると問題が発生しますか?
• データのスキーマが同一でない場合 (Web ログとコンソール ログ)、ログを混在させることをお勧めします。

Graylog のインスタンスをさらに設定する必要がありますか、それともすべてのものを 1 か所に配置しても問題ありませんか? あなたの推奨事項は何ですか？

ありがとう！

ファイアウォールの syslog を取得するために graylog2 vm を使用していますが、非常にうまく動作します。nxlog を使用していくつかの Windows ログを取得したいのですが、まったく機能しません。

私の推測では、conf ファイルの xml コードが間違っていると思いますが、以前は間違っていました.. 注 : ログを取得したい VM と Windows サーバーは同じネットワーク上にあります。

問題は、私の gelf udp 入力が実行されていることですが、ソースには何も表示されません...何か問題がありますか?

編集/さらなる調査と支援の後。nxlog.conf を次のように変更しました。

おそらく実行中の入力を除いて、グレイログにはまだ何も表示されません。

MessageCount と FieldContent などの 2 つのアラート条件を組み合わせて、特定のフィールド コンテンツを持つメッセージが 1 分間に 5 つ以上ある場合にアラーム コールバックを送信できるかどうか疑問に思っています。それを行うためのプラグインを作成することさえ可能ですか? 前もって感謝します。

graylog コレクターを介して nginx、apache、およびシステム ログを収集する唯一の方法は、root として実行することです。

ベスト プラクティスでは、root としてサービスを実行することは一般的にお勧めできません。

サービスをルートとして実行する以外に、上記のログを収集する方法はありますか、それとも一般的な方法ですか?