0
Graylog-Sidecar - Filebeat konfiguration
Hallo Leute,
ich versuche zur Zeit per Graylog bzw. Graylog-Sidecar die Logs (Filebeat) eines nginx-Servers zentral zu sammeln und auszuwerten.
Die Installation des Graylog-Sidecar habe ich anhand dieser Anleitung durchgeführt: https://go2docs.graylog.org/5-0/getting_in_log_data/graylog_sidecar.html
Die Konfiguration unter /etc/graylog/sidecar/sidecar.yml wurde angepasst und der Server erscheint auch in der Sidecar-Liste in Graylog. Die Filebeat komponente habe ich ebenfalls heruntergeladen und gesondert installiert, da diese bei der Sidecar-Installation auf Linux nicht mitkommt. Ich kann den "Filebeat-Dienst" über die Graylog-Oberfläche remote stoppen und starten - ich gehe demnach davon aus, dass die Verbindung an sich funktioniert.
Das aktuelle Log lässt m.E. zumindest mal keine Rückschlüsse auf irgendwelche Fehler zu:
--
Was allerdings nicht funktioniert ist die Übermittlung der Logs. Ich habe den Filebeat folgendermaßen in Graylog konfiguriert:
Fakt ist, dass in Graylog nix ankommt...Habt ihr eine Idee wo ich noch ansetzten könnte, um dem Problem etwas näher zu kommen? Ich stehe etwas auf dem Schlauch wo ich jetzt noch ansetzen könnte...
ich versuche zur Zeit per Graylog bzw. Graylog-Sidecar die Logs (Filebeat) eines nginx-Servers zentral zu sammeln und auszuwerten.
Die Installation des Graylog-Sidecar habe ich anhand dieser Anleitung durchgeführt: https://go2docs.graylog.org/5-0/getting_in_log_data/graylog_sidecar.html
Die Konfiguration unter /etc/graylog/sidecar/sidecar.yml wurde angepasst und der Server erscheint auch in der Sidecar-Liste in Graylog. Die Filebeat komponente habe ich ebenfalls heruntergeladen und gesondert installiert, da diese bei der Sidecar-Installation auf Linux nicht mitkommt. Ich kann den "Filebeat-Dienst" über die Graylog-Oberfläche remote stoppen und starten - ich gehe demnach davon aus, dass die Verbindung an sich funktioniert.
Das aktuelle Log lässt m.E. zumindest mal keine Rückschlüsse auf irgendwelche Fehler zu:
time="2024-01-19T09:21:56+01:00" level=info msg="Starting signal distributor"
time="2024-01-19T09:21:56+01:00" level=info msg="Adding process runner for: filebeat-65aa2d9ab99f932dda3fdbdb"
time="2024-01-19T09:21:56+01:00" level=info msg="Adding process runner for: auditbeat-65491e6fe4fbf03b0e0e5c27"
time="2024-01-19T09:21:56+01:00" level=info msg="[filebeat-65aa2d9ab99f932dda3fdbdb] Configuration change detected, rewriting configuration file."
time="2024-01-19T09:21:57+01:00" level=info msg="[filebeat-65aa2d9ab99f932dda3fdbdb] Starting (exec driver)"
time="2024-01-19T09:21:57+01:00" level=info msg="[auditbeat-65491e6fe4fbf03b0e0e5c27] Configuration change detected, rewriting configuration file."
time="2024-01-19T09:21:58+01:00" level=info msg="[auditbeat-65491e6fe4fbf03b0e0e5c27] Starting (exec driver)" --
Was allerdings nicht funktioniert ist die Übermittlung der Logs. Ich habe den Filebeat folgendermaßen in Graylog konfiguriert:
# Needed for Graylog
fields_under_root: true
fields.collector_node_id: ${sidecar.nodeName}
fields.gl2_source_collector: ${sidecar.nodeId}
output.logstash:
hosts: ["${user.graylog_host}:5044"]
path:
data: ${sidecar.spoolDir!"/var/lib/graylog-sidecar/collectors/filebeat"}/data
logs: ${sidecar.spoolDir!"/var/lib/graylog-sidecar/collectors/filebeat"}/log
filebeat.inputs:
- type: filestream
enabled: true
paths:
- /var/log/nginx/access.log
- /var/log/nginx/error.log
fields_under_root: trueFakt ist, dass in Graylog nix ankommt...Habt ihr eine Idee wo ich noch ansetzten könnte, um dem Problem etwas näher zu kommen? Ich stehe etwas auf dem Schlauch wo ich jetzt noch ansetzen könnte...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 22576834465
Url: https://administrator.de/contentid/22576834465
Printed on: April 27, 2024 at 07:04 o'clock