Лог Server

Железо какое? Настройки? Фильтры логстеша? Конфиг эластика? Что мы тебе, угадывать должны?

Все на виртуалке в Linux контейнере. input { file { path => «/var/log/syslog» type => «syslog» } } input { file { path => «/var/log/auth.log» type => «syslog» }

} .... Фильтр if [type] == «syslog» { dns { reverse => [ «host» ] action => «replace» } mutate { add_tag => [ «syslog» ] } }

if [type] == «apache» { mutate { add_tag => [ «apache» ] } } if [type] =~ «nginx» { mutate { add_tag => [ «nginx» ] } } } filter { if [type] == «syslog» { mutate { remove_tag => «Ready» } }

только проблема логи приходят с задержками или вообще не приходят

В UDP, если речь о rsyslog? В говновиртуалке, которая просто не тянет логстеш, требующий полгига на кучу и ещё метров 200 сверху?

tcp-Rsyslog. RAM 4096MB, Hard 50Gb.В настройках Logstash все нормально. Не знаю куда ещё копать переустановил такая же фигня.

А за каким фигом читать логи из файла, если сам логстеш умеет принимать rsyslog по сети?

Логи принимает Logstash

<code>input { tcp { type => «Syslog» port => «514» } } </code> Я вижу что в файл syslog логи валят. А в панели ничего нет

пфф! у нас в пике, бывает, кластер тормозит, а у тебя вируталка в контейнере. убедись, что хватает хипа. задержка в пару минут - ничего страшного. если вообще не приходит, проверь аутпуты.

Elasticsearch + Logstash + Kibana

Что только не придумают, чтобы syslog-ng не ставить...

Соглашусь с этим человеком. logstash особо-то и не нужен, если не нужна хардкорнейшая трансформация лог-записей.

Можно обратить внимание на syslog-ng (там есть Elasticsearch в бэкенде), а также на rsyslog (там есть omelasticsearch модуль).