Настройка Graylog: различия между версиями
Перейти к навигации
Перейти к поиску
Admin (обсуждение | вклад) |
(нет различий)
|
Текущая версия на 23:54, 2 декабря 2020
Проверка функционирования
System / Inputs
Выберете тип приемника "Syslog UDP" и нажмите [Launch new input]
- Node - выберете ноду вашего сервера
- Title - имя приемника
- Bind address: 0.0.0.0
- Port: 8514
Остальные поля можно оставить по умолчанию.
Пример простой проверки записи в удаленный syslog сервис 192.168.0.1
echo "Hello Graylog" | nc -w 1 -u 192.168.0.1 8514
Размещение файлов по умолчанию
Configuration /etc/graylog/server/server.conf Logging configuration /etc/graylog/server/log4j2.xml Plugins /usr/share/graylog-server/plugin Binaries /usr/share/graylog-server/bin Scripts /usr/share/graylog-server/scripts JVM settings /etc/default/graylog-server Message journal files /var/lib/graylog-server/journal Log Files /var/log/graylog-server/
Известные проблемы
Когда на диске остается мало места, Elasticsearch блокирует запись в индексных блоках.
Ссылки по теме:
Симптомы: 1. Не отображаются новые сообщения 2. В логах ошибки Веб интерфейс / System / Overview Deflector is pointing to [gl-system-events_1], not the newest one: [gl-system-events_2]. Re-pointing. tail -n 100 /var/log/graylog-server/server.log ERROR [IndexRotationThread] Couldn't point deflector to a new index org.graylog2.indexer.ElasticsearchException: ... blocked by: [FORBIDDEN/12/index read-only / allow delete (api)]; Решение: 1. Освободить или увеличить место на диске 2. Снять блокировку записи curl -X PUT "localhost:9200/_all/_settings?pretty" -H 'Content-Type: application/json' -d'{"index.blocks.read_only_allow_delete": null}'