问题标签 [graylog]

我有一个灰色日志服务器设置和工作。（版本 0.9.6，带有 Web 界面）。我有一个严重级别为 NOTICE 或更高级别的日志条目流。
我想向该流添加一个过滤规则，该规则过滤掉所有带有单词 nagios 的条目（也是 nagios: 或 nagios-plugins）。

我尝试将这些规则添加到流中（作为完整的消息过滤器）：

结果是流停止获取日志条目。

如何添加正确的过滤器？

我正在使用 logstash 将消息发送到 graylog 服务器。我已经成功地将消息直接发送到 elasticsearch 或 stdout 或 loggly。我也成功地使用 cURL 将消息发送到 graylog 服务器。

这是我用来使用logstash将数据发送到graylog的命令

文件 LOG-10 有日志消息。我也试过12201端口。我查看了来自 logstash 的调试消息，但这也没有用。

我目前正在使用 logstash 将来自不同 webapps 的数十个日志文件导入 Graylog。它工作得很好，文件被标记了，所以我知道它们来自哪个 webapp。

我无法更改 webapp，因此无法将 GELF appender 添加到 webapp 的 log4j conf 中。这个想法是定期检索日志文件，解析它们并使用logstash将它们导入Graylog。

我的问题是如何确保不导入已导入的日志事件。例如，我有一个日志文件，它的日志模式会递增：log.1、log.2 等。所以当我重新导入时，我将有可能在 log.1 第一次和 2 周后出现的日志事件他们可能会在 log.3 中。恐怕我无法用logstash的文件输入“sincedb_path”和“start_position”来处理这个问题。

所以这里有一些我收集的选项，如果有人遇到同样的问题，我希望你能提供关于它们的意见：

• 使用logstash过滤器删除某个日期之前的所有事件，需要保留每个导入文件的最后一个日志日期的索引（可能50+）和大量的配置写入
• 在 GrayLog 中使用 drool 规则来拒绝带有时间戳的日志，该时间戳早于给定类型收到的最后一个日志
• 要求将日志模式更改为类似 log.date 而不是重命名文件的日志模式（但我宁愿避免这种模式）
• 还有什么想法吗？

我最近使用 Monolog 集成了我们的 PHP Web 应用程序，并添加了对登录 Graylog 的支持。直到最近，我一直在使用Graylog VM，并成功记录了发送给它的所有信息。

我们现在已经启动了一个成熟的专用 Graylog 服务器：该服务器当前正在通过 UDP 记录 syslog 信息，并且它再次完美运行。

然而，由于各种原因，我们选择为我正在开发的应用程序使用 HTTP 输入，因此我在 Graylog 中创建了一个 HTTP 本地输入（为了记录，我也尝试了一个全局输入）。但是，找不到该应用程序的日志。应用程序中没有引发异常，例如在连接错误的情况下会发生这种情况，而且我使用的配置与我的 VM 完全相同，所以我相当确定问题不在应用程序端。

更奇怪的是，Graylog确实收到了该输入的流量！

您可以在右侧以浅灰色看到输入有流量，但已处理 0 个字节 - 或者，我不太确定这意味着什么。

那么：这是什么意思？我该如何调试和解决这个问题？

编辑：我不确定我的客户端代码是否正确......今天我尝试通过以下方式手动向服务器发送消息curl：

并且该消息已正确记录。

我无法将消息发布到我的 graylog 服务器。我在 logstash 中打开了调试，我可以看到消息发出，但我从未在我的 graylog 服务器中收到它们。我已经使用它测试了两台服务器之间的连接性，nc并且可以正常工作。

我正在经历我们的生产灰色日志系统的某种奇怪行为。每次 graylog 服务器循环导流器时（我们限制每个索引 250 万个文档），它都会停止索引消息并引发大量索引错误。

从日志中我得到了它无法创建导流器索引的信息，但仅此而已，没有详细信息。Graylog 然后继续并尝试将传入消息写入旧索引，从而导致索引错误。

我们使用内核 3.10.77-1.el6.elrepo.x86_64 在 CentOS 6.6 x86_64 下运行 graylog 1.0.2 和 elasticsearch 1.4.5

任何帮助将不胜感激，因为我花了大约两天时间调试它，也许我需要提出错误票。

谢谢你的帮助！

塞巴斯蒂安

任何人都知道是否可以使用 gelf4net 将 GELF AMQP 消息直接发送到 Graylog中？

我可以看到关于使用旧的 graylog2 无线电订阅rabbitmq 或类似代理的旧帖子。但后来发现这篇文章说它现在已内置到 graylog v1 中。

gelf4net 设置看起来很简单——但是如何在 Graylog 中设置 GELF AMQP 输入？

我正在运行数十个应用程序，并希望他们将日志推送到一台 Graylog 服务器。我有很多控制台应用程序和很多网站。

网站日志通常包含 BrowserAgent、URL 等数据。控制台应用程序包含其他类型的数据。

将所有这些应用程序记录到一个 Graylog 索引中是个好主意吗？每个应用程序都有自己的“应用程序名称”，因此理论上可以在搜索中区分日志。我想利用在一个地方搜索所有信息的好处。

我担心两件事：

• 当索引太大时是否会导致问题，因为所有公司应用程序都登录到一个地方
• 在数据架构不相同的情况下将日志混合在一起是个好主意吗（网络日志与控制台日志）

我应该设置更多的 Graylog 实例，还是可以将所有东西放在一个地方？你有什么建议？

多谢！

我想将 Graylog2 (v1.1.2) 与 Atlassian Growd LDAP 服务器 (v2.8.3) 集成。

现在所有用户都可以登录 Graylog，但我想只允许拥有组“graylog-users”的用户。

我的设置：

搜索库 DN： ou=users,dc=crowd

用户搜索模式： (&(objectClass=inetOrgPerson)(uid={0}))

我的 LDAP 结构示例：

我该怎么做？

我能够设置graylog-server和 graylog-web 并能够在graylog-collector
的帮助下为 apache2、tomcat 和其他应用程序的生成日志设置输入， 例如

如何从 graylog 中的旧日志文件中查看日志？我尝试为旧日志文件设置 graylog-collector，graylog 正在监听它但不显示日志文件的内容。如果有人知道实现这一目标的方法，请分享