1. дома
  2. Вопрос и ответ
  3. ELK Stack - Журналы удаленных серверов проанализированы и классифицированы правильно, но сбрасываются в stout not elasticsearch

ELK Stack - Журналы удаленных серверов проанализированы и классифицированы правильно, но сбрасываются в stout not elasticsearch

2014-11-29 1 views
0

Как следует из длинной темы, мои удаленные серверы отправляют журналы на сервер логсташа.ELK Stack - Журналы удаленных серверов проанализированы и классифицированы правильно, но сбрасываются в stout not elasticsearch

Здесь logstash конфиги:

Вход:

[[email protected] conf.d]# cat 01-lumberjack-input.conf 
input { 
    lumberjack { 
    port => 5000 
    type => "logs" 
    ssl_certificate => "/etc/pki/tls/certs/logstash-forwarder.crt" 
    ssl_key => "/etc/pki/tls/private/logstash-forwarder.key" 
    } 
}

Тип:

[[email protected] conf.d]# cat 10-syslog.conf 
    filter { 
     if [type] == "syslog" { 
     grok { 
      match => { "message" => "%{SYSLOGTIMESTAMP:syslog_timestamp} %{SYSLOGHOST:syslog_hostname}  %{DATA:syslog_program}(?:\[%{POSINT:syslog_pid}\])?: %{GREEDYDATA:syslog_message}" } 
      add_field => [ "received_at", "%{@timestamp}" ] 
      add_field => [ "received_from", "%{host}" ] 
     } 
     syslog_pri { } 
     date { 
      match => [ "syslog_timestamp", "MMM d HH:mm:ss", "MMM dd HH:mm:ss" ] 
     } 
     } 
    }

Выход:

[[email protected] conf.d]# cat 30-lumberjack-output.conf 
output { 
    elasticsearch { host => localhost } 
    stdout { codec => rubydebug } 
}

местные журналы работают отлично, как metioned, но все журналы с пульта дистанционного управления отправляется на стандартный вывод:

[[email protected] logstash]# tail -n 19 logstash.stdout 
{ 
      "message" => "Nov 29 20:16:44 foreman dhcpd: DHCPACK on 192.168.50.100 to 3c:4a:92:12:1c:cb via eth0", 
      "@version" => "1", 
      "@timestamp" => "2014-11-29T20:16:44.000Z", 
       "type" => "syslog", 
       "file" => "/var/log/messages", 
       "host" => "foreman.ics.dmz", 
       "offset" => "3511785", 
    "syslog_timestamp" => "Nov 29 20:16:44", 
    "syslog_hostname" => "foreman", 
     "syslog_program" => "dhcpd", 
     "syslog_message" => "DHCPACK on 192.168.50.100 to 3c:4a:92:12:1c:cb via eth0", 
     "received_at" => "2014-11-29 07:16:46 UTC", 
     "received_from" => "foreman.ics.dmz", 
"syslog_severity_code" => 5, 
"syslog_facility_code" => 1, 
    "syslog_facility" => "user-level", 
    "syslog_severity" => "notice" 
}

Это может быть глупый вопрос, но я только установили грузоотправитель на сервере клиента, нужно ли мне, что logstash работает там, а?

Заранее благодарен!

источник

2014-11-29 Werner

+0

Ваш выход {} stanza будет пытаться отправить в elasticsearch на локальном компьютере, а также распечатать на stdout. Эта часть выглядит отлично. Является ли поиск elasticsearch на локальной машине? Можете ли вы локально подключиться к порту (9300, я полагаю)? –

+0

Yup, elasticsearch слушает на 9200 и 9300. ::: 9300 & ::: 9200 Вставки должны происходить из локального экземпляра logstash, поэтому я предполагаю, что он на адресе ipv6 не имеет значения, поскольку локальный журналы правильно поданы? – Werner

+0

Ммм .. Хорошо, легкое замешательство. Я ничего не изменил, после публикации моего вопроса я лег спать. Сегодня утром у меня есть данные от других машин ... Зачем им такая огромная задержка в появлении в толстом журнале, когда они доступны в Кибане? Задержка составляет более часа? Возможно, из-за этого: (/ etc/sysconfig/logstash-forwarder) LOGSTASH_FORWARDER_OPTIONS = "- config/etc/logstash-forwarder -spool-size 100" – Werner

ответ

0

Вещи более сбивают с толку, чем я предполагал.

Например, этот журнал:

Dec 2 10:39:12 foreman dhcpd: DHCPACK on 192.168.50.52 to 6c:ad:f8:26:b1:68 (Chromecast) via eth0

Представление списка под графиком перечислены время правильно, но Гистограмма имеет вход в 23:39:12?

Задержка 13 часов звучит невероятно, но 13h во втором звучит скорее как проблема с часовым поясом? Но все работают с теми же датами, уточнены date

источник

2014-11-30 06:59:44 Werner

0

Некоторые больше информации:

[[email protected] tmp]# curl -s XGET http://192.168.50.241:9200/logstash-2014.12.03/_search?pretty=true | tail -n 15; TZ=UTC date 
{ 
    "_index": "logstash-2014.12.03", 
    "_type": "syslog", 
    "_id": "bOVXPpf9SFOKKPgx7PWfCA", 
    "_score": 1.0, 
    "_source": { 
    "message": "Dec 3 00:06:30 foreman dhcpd: DHCPREQUEST for 192.168.50.251 from 00:15:5d:32:14:09 via eth0", 
    "@version": "1", 
    "@timestamp": "2014-12-03T00:06:30.000Z", 
    "type": "syslog", 
    "file": "/var/log/messages", 
    "host": "foreman.ics.dmz", 
    "offset": "3756888", 
    "syslog_timestamp": "Dec 3 00:06:30", 
    "syslog_hostname": "foreman", 
    "syslog_program": "dhcpd", 
    "syslog_message": "DHCPREQUEST for 192.168.50.251 from 00:15:5d:32:14:09 via eth0", 
    "received_at": "2014-12-02 11:06:31 UTC", 
    "received_from": "foreman.ics.dmz", 
    "syslog_severity_code": 5, 
    "syslog_facility_code": 1, 
    "syslog_facility": "user-level", 
    "syslog_severity": "notice" 
    } 
}, 
{ 
    "_index": "logstash-2014.12.03", 
    "_type": "syslog", 
    "_id": "5axCp7UgRxmunclFqlgKNw", 
    "_score": 1.0, 
    "_source": { 
    "message": "Dec 3 00:06:30 foreman dhcpd: DHCPACK on 192.168.50.251 to 00:15:5d:32:14:09 via eth0", 
    "@version": "1", 
    "@timestamp": "2014-12-03T00:06:30.000Z", 
    "type": "syslog", 
    "file": "/var/log/messages", 
    "host": "foreman.ics.dmz", 
    "offset": "3756982", 
    "syslog_timestamp": "Dec 3 00:06:30", 
    "syslog_hostname": "foreman", 
    "syslog_program": "dhcpd", 
    "syslog_message": "DHCPACK on 192.168.50.251 to 00:15:5d:32:14:09 via eth0", 
    "received_at": "2014-12-02 11:06:31 UTC", 
    "received_from": "foreman.ics.dmz", 
    "syslog_severity_code": 5, 
    "syslog_facility_code": 1, 
    "syslog_facility": "user-level", 
    "syslog_severity": "notice" 
    } 
}, 
{ 
    "_index": "logstash-2014.12.03", 
    "_type": "syslog", 
    "_id": "m_MuAZPcS8ixmCn5getvyg", 
    "_score": 1.0, 
    "_source": { 
    "message": "Dec 3 00:06:30 spacewalk dhclient[906]: DHCPREQUEST on eth0 to 192.168.50.240 port 67 (xid=0x421c37e1)", 
    "@version": "1", 
    "@timestamp": "2014-12-03T00:06:30.000Z", 
    "type": "syslog", 
    "file": "/var/log/messages", 
    "host": "spacewalk.ics.dmz", 
    "offset": "269907", 
    "syslog_timestamp": "Dec 3 00:06:30", 
    "syslog_hostname": "spacewalk", 
    "syslog_program": "dhclient", 
    "syslog_pid": "906", 
    "syslog_message": "DHCPREQUEST on eth0 to 192.168.50.240 port 67 (xid=0x421c37e1)", 
    "received_at": "2014-12-02 11:06:33 UTC", 
    "received_from": "spacewalk.ics.dmz", 
    "syslog_severity_code": 5, 
    "syslog_facility_code": 1, 
    "syslog_facility": "user-level", 
    "syslog_severity": "notice" 
    } 
} 
Tue Dec 2 19:19:14 UTC 2014

Так что, кажется, данные буферизованных перед записью EL?

источник

2014-12-02 19:24:22 Werner

Смежные вопросы

 Смежные вопросы