我经常处理大量的日志(每天增长约 1Gb),我按照老方法管理它们,在日志轮换到中央服务器之前将其转储,然后存储在磁带上。 现在,因为这些日志可能会被当局要求,所以在某些时候我必须阅读它们,找到他们需要的内容,并将有趣的部分发回[我在意大利]... 无论如何,处理这些东西变得相当困难,因为生成的日志量不断增长,我的磁带存储以及跟踪这些东西并不像几年前那么容易。 我已经尝试过 Graylog2,它似乎是一款非常好的软件,唯一的问题是没有简单的方法将日志导出到另一个存储,并在需要时再导入回来(也许我错误地理解了它的工作方式)。 有人可以为我提供他们用来管理如...
我正在尝试将 apache 日志发送到 graylog 服务器,但总是遇到同样的问题 AH00106:管道日志程序“/home/ubuntu/nc/nc_wrapper.sh -w1 10.0.0.126 12201”意外失败 ...
我最近开始使用 docker-compose,目前我需要升级 VM 服务器。不幸的是,由于某些原因,我无法访问快照/恢复选项。但是,我有足够的可用磁盘空间在服务器内部执行手动备份。在深入研究了 rsync、Alpine、docker-compose-backup、Restic 等各种选项后,我又回到了 rsync,因为我只需要一个升级期间的临时解决方案。 您能否验证下面概述的方法是否有效?这是一个 Greylog 实例,卷 mongo:elasticsearch:graylog 位于 ./data 中。 rsync -aAXv /opt/docker/doc...
有人能给我一些提示吗,我该如何发送使用 GELF 日志记录驱动程序将日志从 containerd 1.6.19 传输到 graylog? 我已经设定/etc/containerd/config.toml: [plugins."io.containerd.grpc.v1.cri".containerd.runtimes.runc.options] LogDriver = "gelf" LogOpt = ["gelf-address=udp://1.2.3.4:12022"] SystemdCgroup = true Environment = ["ENVIRO...
我们最初的问题 去年我们遇到了一个问题,一台服务器上的恶意软件向我们的中央 Graylog 服务器发送了大量垃圾邮件,从而给其他应用程序带来了问题。 主要问题是来自其他应用程序的较旧的有用消息比正常情况更早被清除,而索引中则充满了来自恶意应用程序的无用消息。 我建议的解决办法是给每个应用程序一个自己的索引,这样任何应用程序都不会占用其他应用程序的日志存储空间。这不需要对应用程序本身进行任何更改,只需要在 Graylog 内部进行更改。然而,什么也没做,因为正在计划一种新的基于 kubernetes 的 Graylog 解决方案。 我们提供的解决方案 快进到现...
我将日志从 Logstash 作为生产者发送到 Kafka,然后从 Graylog 消费它们。这按预期工作。 但是,当停止 Graylog 输入并发送 LeaveGroup 请求时,消费者不会取消注册,即使通过 删除该组bin/kafka-consumer-groups.sh --bootstrap-server localhost:9092 --delete --group graylog2,Graylog 仍会继续使用(并且能够这样做),即使该组graylog2不再存在。 这是预期的行为吗?在这种情况下,注销消费者的正确方法是什么? ...
我正在使用 filebeat 将本地日志文件中的数据发送到 graylog,与原始文件相比,我的存储开销是 20 倍。有大量的元数据字段,但我似乎无法摆脱它们。我尝试了许多删除字段的方法,例如: processors: - drop_fields: fields: ["ecs.version", "agent.version", "agent.type", "agent.id", "agent.hostname", "input.type"] 你们有没有什么建议,可以删除除时间戳和已发送的原始日志之外的所有内容?我不需要任何像 ID 或代理...
我使用完全相同的方法创建了 2 个密钥证书对。但是,当我尝试在 graylog 服务器上设置到远程 filebeat 节点的 TLS 时,尝试使用常规证书连接以验证 graylog 服务器的真实性时,它无法成功连接。 然后,如果禁用服务器端 TLS 但启用客户端身份验证,它奇迹般地工作并且我有一个 TLS 连接。我不知道如何调试它?我已经检查过文件是否可由用户读取、是否已安装到容器中以及路径是否正确。我还将 filebeat 身份验证完全关闭,只检查有效性而不检查域,以防域名存在拼写问题或其他问题。 我尝试过 wireshark,确实有一些 TLS 活动正在...
我正在为一家提供 2 项不相关服务的公司创建日志记录基础架构。以下哪种方式更好: 单个 graylog 实例将两个服务的日志路由到不同的 elasticsearch 数据库 或者更确切地说,有两个独立的 graylog 实例在 2 个 docker 容器中运行,并有自己的 elasticsearch 集群 我只有 1 台服务器可用于日志记录,无论是哪个来源的日志量都不大。 我对服务器管理不是很有经验,所以我正在寻找可能导致更多麻烦的建议 - 必须处理更复杂的路由,证书和端口内容,或者让所有日志文件都通过同一个地方运行并且必须严格将它们分开。 ...
我希望得到有经验的人的建议,建立一个 HA 基础架构,每周以 JSON 格式记录 2To 数据。我需要保留 7 天,并且需要能够通过 API 请求这些数据。 全球要求是: - 每月处理 400 000 000 个请求(每秒 154 次) - 需要处理 JSON 格式的平面日志并通过删除不需要的信息来清除它以节省磁盘空间。 - 拥有平面日志的实时仪表板 - 拥有一个仪表板,能够对存储 7 天的最终日志制作图表或提出请求。 - 有一个可用的 API,以便能够从外部软件检索这些日志的数据。 - 基础设施应该能够在未来轻松增长。 我考虑在 6 台专用服务器(3 台主...
我有一台 Graylog 服务器(最新版本)从 nginx 收集数据。它已经运行了一段时间。我通过查询我的 Elasticsearch 集群(v7 最新版本)检索收集的数据,该集群目前由 4 个节点组成。这一切都运行正常。现在我遇到的问题是 Elasticsearch 不会返回最新数据。我检查了它是否存在。我没有看到与以前存储的数据有任何差异。我确实有过停机(又称崩溃),因为我的磁盘已满。所有状态都显示系统再次正常运行。 我检查了所有能找到的东西,但还是想不出什么办法。我需要去哪里解决这个问题?我很感激任何想法! 更新 我还注意到,我将默认索引集的索引副本数...
我正在使用 Graylog 服务器来集中来自网络设备和服务器的日志,我想知道交换机、Windows 机器和其他设备上的 Syslog 服务是否仍会在本地保存日志或只是将它们发送到远程并停止本地日志记录过程? ...
我正在尝试在 Graylog 客户端计算机上安装 NxLog 收集器。Graylog 和相关基础架构(elastic 和 mongodb)运行良好。 安装客户端是 Windows Server 2019 DC(“辅助”/“代理”/“响应者”?不掌握新术语)。当我安装 NxLog 时,一切都很好(创建了包含文件的文件夹,并卸载了服务 nxlog)。当我安装 Graylog 时,安装了“graylog-sidecar”服务,但没有安装“graylog-collector-nxlog”服务。 这官方文档根本没有指出需要哪些 Windows 服务。 我们所有其他 W...
我最近更改了我的 gmail 密码,并且也更改了 server.conf 中的密码,但现在 graylog 的电子邮件警报失败,并显示: Sending the email to the following server failed : smtp.gmail.com:587 (javax.mail.AuthenticationFailedException: 535-5.7.8 Username and Password not accepted. Learn more at 535 5.7.8 https://support.google.com/mai...
尝试使用官方设置grayloggraylog2.graylog ansible 角色。 在三台独立的服务器上安装了 Elasticsearch (v7.10.2) 集群,并具有官方 elasticsearch ansible 角色 (node_1 - master、node_2 和 node_3 - data) - 到目前为止没有问题。 当运行 graylog ansible(针对另一台服务器)时,一切成功(包括在同一个 graylog 主机上安装 MongoDB),但 graylog-server systemd 单元的重新启动失败,因此 ansible ...