問題タブ [graylog]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
regex - Graylog2 ストリーム フィルター規則
私はグレイログサーバーをセットアップして動作させています。(バージョン 0.9.6、Web インターフェイス付き)。重要度が NOTICE 以上のログ エントリのストリームがあります。
そのストリームに、nagios という単語 (nagios: または nagios-plugins) を含むすべてのエントリを除外するフィルタ ルールを追加したいと考えています。
これらのルールをストリームに追加しようとしました (完全なメッセージ フィルターとして):
その結果、ストリームがログ エントリの取得を停止しました。
正しいフィルターを追加するにはどうすればよいですか?
logstash - logstash を使用して手動で定期的にログ ファイルを Graylog にインポートする最良の方法
現在、logstash を使用して、さまざまな Web アプリケーションから多数のログ ファイルを Graylog にインポートしています。ファイルがタグ付けされているのでうまく機能するので、それらがどのWebアプリケーションから発信されたかがわかります。
webapp を変更できないため、webapp の log4j conf に GELF アペンダーを追加できません。アイデアは、定期的にログ ファイルを取得し、それらを解析して、logstash で Graylog にインポートすることです。
私の問題は、既にインポートしたログ イベントをインポートしないようにするにはどうすればよいかということです。たとえば、log.1、log.2 などのように増加するログ パターンを持つログ ファイルがあるとします。そのため、初回と 2 週間後に再インポートすると、log.1 に記録される可能性のあるログ イベントが記録されます。それらはおそらくlog.3にあるでしょう。残念ながら、logstash のファイル入力 "sincedb_path" と "start_position" ではそれを処理できません。
そこで、私が集めたいくつかのオプションを以下に示します。誰かが同じ問題に遭遇した場合は、それらについてご意見をお聞かせください。
- 特定の日付より前のすべてのイベントをドロップする logstash フィルターを使用します。インポートされたすべてのファイル (潜在的に 50 以上) のすべての最後のログ日付のインデックスを保持する必要があり、多くの構成書き込みが必要です。
- GrayLog で drool ルールを使用して、特定のタイプで最後に受信したログよりも前のタイムスタンプを持つログを拒否する
- ファイルの名前を変更するログ パターンではなく、log.date のようなログ パターンに変更するように依頼します (ただし、これは避けたいと思います)。
- 他のアイデアはありますか?
graylog2 - ディフレクターを循環するときのグレイログの問題
本番のグレイログ システムで奇妙な動作が発生しています。graylog サーバーがデフレクターを循環させるたびに (インデックスごとに 250 万のドキュメントの制限があります)、メッセージのインデックス作成を停止し、多くのインデックス作成エラーを発生させます。
ログから、ディフレクター インデックスを作成できなかったという情報が得られましたが、それ以上の詳細はありません。その後、Graylog は引き続き受信メッセージを古いインデックスに書き込もうとするため、インデックス作成エラーが発生します。
カーネル 3.10.77-1.el6.elrepo.x86_64 を使用して、CentOS 6.6 x86_64 で graylog 1.0.2 と elasticsearch 1.4.5 を実行しています。
デバッグに約 2 日を費やしたので、助けていただければ幸いです。バグ チケットを作成する必要があるかもしれません。
ご協力いただきありがとうございます!
セバスチャン
c# - 1 つのグレイログ インデックスでより多くのアプリケーションからログを記録する
多数のアプリケーションを実行しており、それらのログを 1 つの Graylog サーバーにプッシュしたいと考えています。多くのコンソール アプリケーションと多くの Web サイトがあります。
Web サイトのログには通常、BrowserAgent、URL などのデータがあります。コンソール アプリケーションには、他の種類のデータがあります。
これらすべてのアプリケーションから 1 つの Graylog インデックスにログを記録することは良い考えですか? 各アプリケーションには独自の「ApplicationName」があるため、理論的には検索でログを互いに区別することができます。すべての情報を 1 か所で検索できる利点を活用したいと考えています。
私は2つのことを心配しています:
- すべての会社のアプリケーションが 1 つの場所にログインしているため、インデックスが大きすぎると問題が発生しますか?
- データのスキーマが同一でない場合 (Web ログとコンソール ログ)、ログを混在させることをお勧めします。
Graylog のインスタンスをさらに設定する必要がありますか、それともすべてのものを 1 か所に配置しても問題ありませんか? あなたの推奨事項は何ですか?
ありがとう!
ldap - Graylog2 + Crowd LDAP
Graylog2 (v1.1.2) を Atlassian Growd LDAP サーバー (v2.8.3) と統合したいと考えています。
これで、すべてのユーザーが Graylog にログインできるようになりましたが、「graylog-users」グループを持つユーザーのみを許可したいと考えています。
私の設定:
検索ベース DN: ou=users,dc=crowd
ユーザー検索パターン: (&(objectClass=inetOrgPerson)(uid={0}))
私の LDAP 構造の例:
どうすればそれができますか?