Интеграция с Телеграм

Проверка функционирования

System / Inputs

Выберете тип приемника "Syslog UDP" и нажмите [Launch new input]

• Node - выберете ноду вашего сервера
• Title - имя приемника
• Bind address: 0.0.0.0
• Port: 8514

Остальные поля можно оставить по умолчанию.

Пример простой проверки записи в удаленный syslog сервис 192.168.0.1

echo "Hello Graylog" | nc -w 1 -u 192.168.0.1 8514

Размещение файлов по умолчанию

Configuration           /etc/graylog/server/server.conf
Logging configuration   /etc/graylog/server/log4j2.xml
Plugins                 /usr/share/graylog-server/plugin
Binaries                /usr/share/graylog-server/bin
Scripts                 /usr/share/graylog-server/scripts
JVM settings            /etc/default/graylog-server
Message journal files   /var/lib/graylog-server/journal
Log Files               /var/log/graylog-server/

Известные проблемы

Когда на диске остается мало места, Elasticsearch блокирует запись в индексных блоках.

Ссылки по теме:

• Index rotation failure
• How To Fix The Forbidden 12 Read-Only API Error In Elasticsearch

Симптомы:
  1. Не отображаются новые сообщения
  2. В логах ошибки
     Веб интерфейс / System / Overview
     Deflector is pointing to [gl-system-events_1], not the newest one: [gl-system-events_2]. Re-pointing.

     tail -n 100 /var/log/graylog-server/server.log 
     ERROR [IndexRotationThread] Couldn't point deflector to a new index org.graylog2.indexer.ElasticsearchException: ...
     blocked by: [FORBIDDEN/12/index read-only / allow delete (api)];

Решение:
  1. Освободить или увеличить место на диске
  2. Снять блокировку записи
     curl -X PUT "localhost:9200/_all/_settings?pretty" -H 'Content-Type: application/json' -d'{"index.blocks.read_only_allow_delete": null}'