我创建了在 kubernetes 集群之外运行的 elasticsearch 和 kibina 设置,并使用 fluentd 收集 kubernetes 日志并将数据发送到 elasticsearch。我在 kubernetes 中将 fluentd 作为守护程序集运行。 apiVersion: apps/v1 kind: DaemonSet metadata: namespace: efk name: fluentd labels: app: fluentd spec: selector: matchLabels: ...
我们最初的问题 去年我们遇到了一个问题,一台服务器上的恶意软件向我们的中央 Graylog 服务器发送了大量垃圾邮件,从而给其他应用程序带来了问题。 主要问题是来自其他应用程序的较旧的有用消息比正常情况更早被清除,而索引中则充满了来自恶意应用程序的无用消息。 我建议的解决办法是给每个应用程序一个自己的索引,这样任何应用程序都不会占用其他应用程序的日志存储空间。这不需要对应用程序本身进行任何更改,只需要在 Graylog 内部进行更改。然而,什么也没做,因为正在计划一种新的基于 kubernetes 的 Graylog 解决方案。 我们提供的解决方案 快进到现...
因此,我的日志解析器查询失败并指出远程过程调用失败。 但是,我能够使用事件查看器进行连接(我讨厌这样做);事件查看器使用什么来连接,而日志解析器却不能? C:\Program Files (x86)\Log Parser 2.2>LogParser -e:1 "SELECT EventId, RecordNumber, EventId, SourceName, TO_STRING( TO_UTCTIME( TimeGenerated ), 'yyyy-MM-dd hh:mm:ss.ll' ), Strings INTO 'C:\l*.csv' FROM...
我正在为一家提供 2 项不相关服务的公司创建日志记录基础架构。以下哪种方式更好: 单个 graylog 实例将两个服务的日志路由到不同的 elasticsearch 数据库 或者更确切地说,有两个独立的 graylog 实例在 2 个 docker 容器中运行,并有自己的 elasticsearch 集群 我只有 1 台服务器可用于日志记录,无论是哪个来源的日志量都不大。 我对服务器管理不是很有经验,所以我正在寻找可能导致更多麻烦的建议 - 必须处理更复杂的路由,证书和端口内容,或者让所有日志文件都通过同一个地方运行并且必须严格将它们分开。 ...
我正在运行 Ubuntu 22.02systemd-journal-remote版本249.11-0ubuntu3.6.,由于未设置日志轮换,硬盘已满。为了管理日志的文件大小,我使用/etc/systemd/journal-remote.conf.d/01-central-log.conf两个属性MaxFiles和更新了配置MaxUse。不幸的是,这些属性没有被尊重,当我重新启动 systemd-journal-remote 服务时会抛出以下错误: Jan 27 10:20:11 log-server systemd-journal-remote[94902...
我确实有一个运行的日志服务器systemd 日志远程软件通过以下方式从远程主机接收日记帐分录systemd 日志上传。这很好。我遇到的唯一问题是日志名称/var/log/journal/remote是用 IP 地址而不是主机名命名的。 文档说: “[...] 文件将被称为 remote-hostname.journal,其中主机名部分是连接源端点的转义主机名,如果无法确定主机名,则为数字地址。” 所以就我的情况来说,显然无法确定。 /etc/hosts我在日志服务器上的文件中配置了客户端 ip - 主机映射。Anslookup <hostname&...
我正在尝试配置rsyslog以接收端口 3100 上从其他设备发送的日志(我的经理选择了该端口,稍后我会让他将其更改为 514),并将这些日志保存(附加)到本地文件中。因此我创建了/etc/rsyslog.d/remote.conf以下内容: $umask 0000 template(name="DynFile" type="string" string="/var/log/remote/%$YEAR%-%$MONTH%-%$DAY%/%HOSTNAME%") ruleset(name="RemoteMachine"){ action(type="omfil...
其想法是在 Rsyslog 服务器上接收日志,然后根据日志内容将其发送到特定的 Kafka 服务器。 例如,在单个端口 514 上接收日志,将收到的日志转发到 Kafka 主题 #1,将包含“[warning]”的行转发到 Kafka 主题 #2 这样的事有可能吗? ...
我们有许多生产应用程序(第一方和第三方),它们将日志记录留给运行该应用程序的进程,并且仅记录到stdoutforINFO和stderrforERROR日志(即,只有 2 个日志优先级INFO|ERROR:)。 使用应用程序的 systemd 服务单元可以像这样设置: StandardOutput=journal StandardError=journal 这使得 devops 能够通过 systemd 单元和日志管理一切,以便于集中收集日志、监控一切……而且他们不必担心为每个部署的应用程序定位和解析不同格式/位置的不同日志。 systemd 的日志具有与 ...
我们为两台机器设置了审计消息的集中日志记录: 机器(www22.domain.com)是源(centos8) 机器(cls.domain.com)是集中日志服务器(centos7) 这是以标准方式完成的,使用 auditd+audisp 插件发送到监听端口 60 的 auditd 服务器,例如如下所述: https://luppeng.wordpress.com/2016/08/06/setting-up-centralized-logging-with-auditd/ 但是,当我在源上重新启动 auditd 客户端后观察集中日志服务器上的审计日志时,唯...
我在 GCE 中有一个安装了 Docker 的虚拟机。在那里我使用Google Cloud Logging 驱动程序。我可以在 stackdrive 日志中看到日志。但是,我无法轻松地浏览不同容器的日志。所有容器的日志都编入索引logName projects/my-project/logs/gcplogs-docker-driver 有没有办法在左侧的“日志字段”窗格中添加字段,以便我轻松地按容器进行过滤?似乎logNamegcplogs-docker-driver 中的是硬编码的,因此无法修改。我尝试使用“将字段添加到日志字段窗格”,jsonPayloa...
我想创建一个中央 rsyslog 服务器,并且我想为收到的每种日志类型创建一个文件。我需要一个过滤器,它可以在传入的消息中查找特定字符串,然后将它们放在单独的日志文件中。 因此,如果我看到来自 Cisco 设备的日志,我会将其放在 /var/log/remote_cisco.log 中,如果我看到来自另一个 Linux 机器的日志,我会将日志放在 /var/log/remote_linux.log 中。 因此,我创建了一个具有新规则集的新配置,但是我很难理解将过滤器放在哪里,我想说的是: 如果 $msg 包含“CISCO ASA”,则 /var/log/re...
这是我在各个主机上进行的 Promtail 抓取配置的一部分,用于将journald日志条目收集到 Loki 实例中: - job_name: journald journal: labels: job: journald relabel_configs: - source_labels: - __journal__systemd_unit target_label: unit pipeline_stages: - match: selector: '{unit=~"...
我正在 CentOS 8 上使用 rsyslog 和 auditd 设置一个中央服务器。我遵循本指南关于如何将远程审计日志发送到我的中央服务器。 注意:这些文件可以在 /etc/audit/ 上找到,而不是在 /etc/audisp/ 上。 所以我在两台服务器上都有以下配置 客户: /etc/audit/auditd.conf log_format = ENRICHED name_format = HOSTNAME /etc/audit/plugins.d/au-remote.conf active = yes /etc/audit/audisp-r...
由于我们国家的数据隐私法规,管理层要求我们禁止 Microsoft Office Pro Plus、365、2016 向 Microsoft 发送遥测数据,因此我按照官方网站上所述进行了以下操作https://docs.microsoft.com/en-us/deployoffice/compat/manage-the-privacy-of-data-monitored-by-telemetry-in-office。 因此,我下载了 ADMX 模板 > 配置 > 管理模板 > Microsoft Office 2016 > 遥测仪表板...