问题标签 [graylog]

你好我的配置是：

弹性搜索.yml：

graylog2.conf ：

我正在尝试安装在我的 apache localhost 中。

当我检查使用 curl -XGET ' http://localhost:9200/_cluster/health?pretty=true '

我得到的输出是：

我已按照教程https://www.digitalocean.com/community/tutorials/how-to-install-graylog2-and-centralize-logs-on-ubuntu-14-04

输出：2016-01-18 18:45:53,221 警告：org.elasticsearch.discovery.zen - [graylog2-server] 无法连接到主服务器 [[Sunpyre][l1hOltklR-OIeBq7dcPR9g][inet[/172.16.1.169:9300 ]]{master=true}]，重试... org.elasticsearch.transport.ConnectTransportException: [Sunpyre][inet[/172.16.1.169:9300]] connect_timeout[30s]

2016-01-18 18:45:53,221 警告：org.elasticsearch.discovery.zen - [graylog2-server] 无法连接到主服务器 [[Sunpyre][l1hOltklR-OIeBq7dcPR9g][inet[/172.16.1.169:9300]] {master=true}]，重试... org.elasticsearch.transport.ConnectTransportException: [Sunpyre][inet[/172.16.1.169:9300]] connect_timeout[30s]

错误：无法成功连接到 ElasticSearch。检查您的集群状态是否不是 RED 并且 ElasticSearch 是否正常运行。

我们有很多 Centos 客户端（Centos 5-7）。我希望所有客户端都通过 syslog 将日志发送到 graylog 服务器。这适用于安装了 rsyslog 的客户端。但是老客户没有rsyslog。他们使用系统日志。

我应该在/etc/syslog.conf文件中进行哪些更改才能使其正常工作？谢谢你的帮助。

我特别需要知道如何将我从任何人那里收到的日志文件“导入”到 Graylog。我需要的不是“发送”或配置将向 Graylog 发送日志的收集器。

我需要知道是否可以将带有日志的 TAR 复制到 graylog 并通过 Graylog 的 Web UI 呈现内容。

我已经阅读了很多博客，但我很难找到满足我特定需求的指导。

非常感谢您的帮助

我正在使用 FluentD 和 Graylog GELF 进行日志记录，但成功有限。我想转发一个 JSON 文件：

这会启动，但会产生错误消息：

2016-02-01 15:30:11 +0000 [警告]: plugin/in_tail.rb:263:rescue in convert_line_to_event: "{\"timestamp\":\"2016-02-01T15:27:09.000087+0000\ ",\"flow_id\":51921072,\"event_type\":\"flow\",\"src_ip\":\"10.1.1.85\",\"src_port\":59820,\"dest_ip\": \"224.0.0.252\",\"dest_port\":5355,\"proto\":\"UDP\",\"flow\":{\"pkts_toserver\":4,\"pkts_toclient\":0 ,\"bytes_toserver\":294,\"bytes_toclient\":0,\"start\":\"2016-02-01T15:26:30.393371+0000\",\"end\":\"2016-02 -01T15:26:37.670904+0000\",\"age\":7,\"state\":\"new\",\"reason\":\"timeout\"}}" error="无效时间格式：值 = 2016-02-01T15:27:09.000087+0000，error_class = ArgumentError，错误 = 无效的 strptime 格式 - `%Y-%m-%dT%H:%M:%S.%6N%z'"

原始消息如下所示：

所以我检查了Ruby 文档。我对 FluentD 不太熟悉，但据我所知，时间格式表达式应该适合？我试过format=none了，但这也行不通。

我在我的 log4j.properties 中使用 graylog GELFAppender。在应用程序启动时
发生此错误：

这是我的 log4j.properties 文件

我用谷歌搜索并没有找到任何东西。请帮助tnx

我的应用程序在我想要打开并从 gralog web 查看这些文件的文件夹中生成了几个数据文件/输出文件。有什么我可以使用的工具吗

在可用的开源日志管理工具中，我遇到过这两个，但不知道该使用哪一个。我尝试搜索 Graylog vs Fluentd 的文章，但找不到。

有人可以建议哪一个更适合以下标准，
* 生产主从架构，没有那么高端的硬件，例如具有 4GB RAM 的单核处理器和合适的驱动器大小以容纳日志
* 通过 UI 进行日志搜索
* 基于规则的警报
* 最小设置（如果可能）
* 从 VIP 动态添加/删除从属主机

在此先感谢
米尔扎

如果我尝试在我的新 Graylog 服务器上创建任何类型的输入，我将得到一个 java 转储。目前在 Ubuntu 14.04 64 位和 Java 1.8、MongoDB 和 Elasticsearch 上运行。mongodb、graylog 服务器或 elasticsearch 日志中没有错误。elasticsearch 集群状态为绿色。

无论我选择哪个输入，我都会收到错误消息：

此异常已使用 id 6p63dbml7 记录。

在 /var/log/graylog-web/web.log 中，我看到了以下错误：

原因：java.lang.NoClassDefFoundError：无法在 play.data.Form.bind(Form.java:324) 处初始化类 play.data.validation.Validation~[com.typesafe.play.play-java_2.10-- 2.3.10-2.3.10.jar:2.3.10] 在 play.data.Form.bindFromRequest(Form.java:221) ~[com.typesafe.play.play-java_2.10--2.3.10-2.3. 10.jar:2.3.10] 在 controllers.InputsController.launch(InputsController.java:252) ~[graylog-web-interface.graylog-web-interface-1.2.2.jar:1.2.2] 在 Routes$$anonfun $routes$1$$anonfun$applyOrElse$33$$anonfun$apply$533.apply(routes_routing.scala:1853) ~[graylog-web-interface.graylog-web-interface-1.2.2.jar:na] at Routes$$ anonfun$routes$1$$anonfun$applyOrElse$33$$anonfun$apply$533.apply(routes_routing.scala:1853) ~[graylog-web-interface.graylog-web-interface-1.2.2.jar:na] 在玩。核。Router$HandlerInvokerFactory$$anon$4.resultCall(Router.scala:264) ~[com.typesafe.play.play_2.10-2.3.10.jar:2.3.10] at play.core.Router$HandlerInvokerFactory$JavaActionInvokerFactory$$ anon$15$$anon$1.invocation(Router.scala:255) ~[com.typesafe.play.play_2.10-2.3.10.jar:2.3.10] at play.core.j.JavaAction$$anon$1。 call(JavaAction.scala:55) ~[com.typesafe.play.play_2.10-2.3.10.jar:2.3.10] at play.GlobalSettings$1.call(GlobalSettings.java:67) ~[com.typesafe. play.play_2.10-2.3.10.jar:2.3.10] 在 play.mvc.Security$AuthenticatedAction.call(Security.java:44) ~[com.typesafe.play.play_2.10-2.3.10.jar :2.3.10] ...省略了33个常用框架Router$HandlerInvokerFactory$JavaActionInvokerFactory$$anon$15$$anon$1.invocation(Router.scala:255) ~[com.typesafe.play.play_2.10-2.3.10.jar:2.3.10] at play.core.j .JavaAction$$anon$1.call(JavaAction.scala:55) ~[com.typesafe.play.play_2.10-2.3.10.jar:2.3.10] 在玩.GlobalSettings$1.call(GlobalSettings.java:67 ) ~[com.typesafe.play.play_2.10-2.3.10.jar:2.3.10] 在 play.mvc.Security$AuthenticatedAction.call(Security.java:44) ~[com.typesafe.play.play_2. 10-2.3.10.jar:2.3.10] ...省略了33个常用框架Router$HandlerInvokerFactory$JavaActionInvokerFactory$$anon$15$$anon$1.invocation(Router.scala:255) ~[com.typesafe.play.play_2.10-2.3.10.jar:2.3.10] at play.core.j .JavaAction$$anon$1.call(JavaAction.scala:55) ~[com.typesafe.play.play_2.10-2.3.10.jar:2.3.10] 在玩.GlobalSettings$1.call(GlobalSettings.java:67 ) ~[com.typesafe.play.play_2.10-2.3.10.jar:2.3.10] 在 play.mvc.Security$AuthenticatedAction.call(Security.java:44) ~[com.typesafe.play.play_2. 10-2.3.10.jar:2.3.10] ...省略了33个常用框架10] 在 play.mvc.Security$AuthenticatedAction.call(Security.java:44) ~[com.typesafe.play.play_2.10-2.3.10.jar:2.3.10] ...省略了 33 个常见帧10] 在 play.mvc.Security$AuthenticatedAction.call(Security.java:44) ~[com.typesafe.play.play_2.10-2.3.10.jar:2.3.10] ...省略了 33 个常见帧

任何帮助将不胜感激。

阿杰

应用“echo -n password | sha256sum”后，现在我遇到了“没有可用的 Graylog 服务器。无法登录”之类的问题。

你能找到屏幕截图和 server.conf 文件和 web.conf 文件脚本吗？

在 server.conf 文件中：

password_secret = sDk4hzCYXJ3auybi5ZBzNB65lvO62H81tr206vJ2uOB7g3i6IDmxvowXrzYqBhKHpGdOVbQyoO1G2v3rXQxwBDnX7SdxBPVE

root_password_sha2 = 5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8

在 web.conf 文件中：

application.secret="sDk4hzCYXJ3auybi5ZBzNB65lvO62H81tr206vJ2uOB7g3i6IDmxvowXrzYqBhKHpGdOVbQyoO1G2v3rXQxwBDnX7SdxBPVE"

在 Graylog 欢迎页面中显示错误，例如“没有可用的 Graylog 服务器。无法登录。”

您能否建议我如何解决这些问题：

1.没有可用的 Graylog 服务器。无法登录。 2.对不起，这些凭据无效

（这里我使用了用户名：admin

密码：5e884898da28047151d0e56f8dc6292773603d0d6aabbdd62a11ef721d1542d8）

但我无法在 Graylog 中成功登录。

谢谢，纳格

我正在尝试将相同的日志从 Filebeat 发送到两台不同的服务器（一台 Logstash 和一台 Graylog 服务器）而不进行负载平衡。我们正在我们公司测试 ELK 和 Graylog，出于测试目的，我们希望将日志发送到两个不同的堆栈。但是，在filebeat.yml文件中，如果想要进行负载平衡，我只能看到一个选项来提供 logstash 服务器列表。否则，默认值为 false，因此所有日志只会发送到随机选择的一台服务器。这就是我在 yml 文件中的内容：

如果我将其更改为：

我只会将日志发送到其中之一。

如果我设置loadbalance: true，日志将分发到两个服务器。有没有办法将所有日志发送到两台服务器？

非常感激。