Monitoring Serwerów - Forum o monitoringu infrastruktury IT - Logstash

MsSQL i konto domenowe

Thu, 17 Jun 2021 09:15:47 +0000

Czy udało się komuś podłączyć do mssql kontem domenowym(windows authentication) używając logstasha?

Duplikacja dokumentów

Thu, 15 Apr 2021 11:11:32 +0000

Cześć.

Zbieramy dane w elasticu i wizualizujemy je, ale czasem wyniki są przekłamane. Sprawdziliśmy i wychodzi na to, że to przez logstasha. Okazjonalnie zaczyta dane powtórnie z jakiegoś powodu. Jest jakiś sposób na to?

Tail of pipeline

Tue, 23 Feb 2021 10:24:08 +0000

Cześć.

Pracuję od jakiegoś czasu z logstashem i wszystko działa dobrze, ale od czasu do czasu zaczyna mi się pojawiać spam takich wpisów i logstash przestaje wysyłać dane. Nie wiem o co chodzi i czemu logstash przestaje działać??

Code:
[WARN ][io.netty.channel.DefaultChannelPipeline] An exceptionCaught() event was fired, and it reached at the tail of the pipeline. It usually means the last handler in the pipeline did not handle the exception.

kasowanie duplikatów syslog

Mon, 06 Jul 2020 12:26:54 +0000

Pewnie wszyscy znamy taki wpis w dziennikach syslog:
... last message repeated ...times

można to jakoś łatwo wykluczyć ?

problem z netflow na checkpoint

Thu, 07 May 2020 10:01:48 +0000

Dzień dobry,
Mam taki dziwny objaw z ruchem netflow przychodzącym z routera checkpoint. Problem wystąpił po aktualizacji jednego routera do nowszej wersji.

Code:
[WARN ][logstash.codecs.netflow  ] Unsupported field in template 256 {:type=>467, :length=>4}

[WARN ][logstash.codecs.netflow  ] Can't (yet) decode flowset id 256 from source id 0, because no template to decode it with has been received. This message will usually go away after 1 minute.

Wbrew komunikatowi problem nie ustępuje. Przestałem tez otrzymywać dane z tego routera.

Wolne działanie filtra DNS logstash

Wed, 06 May 2020 11:02:32 +0000

Witam,
Uruchomiłem filtr DNS na logstashu, ale wyraźnie widać, że prędkość indeksowania zmalała przez dodanie resolva.
Mój konfig jak w dokumentacji :

filter {
dns {
reverse => [ "source_host", "field_with_address" ]
resolve => [ "field_with_fqdn" ]
action => "replace"
}
}

Czy to musi tak wolno działać ?

niski odbiór flowów na ELS

Wed, 22 Apr 2020 06:08:24 +0000

wysyłam na logstasha ok 20tyś/s flowów, a na elasticu mam tylko 12tyś/s, co może być przyczyną i co powinienem zrobić aby było 20tyś/s na ELS?

snmptrap - logstash

Wed, 15 Apr 2020 07:17:46 +0000

Witam serdecznie,
Mam pewien problem z trapami snmp.

Sam odbiór trapa działa, jednak podczas zapisu do elasticsearch okazuje się, że problematyczne są pola z adresami MAC oraz IP, które przybierają dziwną postać, np. "XÙÃ÷áM" lub "dö<9d><9a>¶\u0010"

Probowałem zmienić domyślne kodowanie, jednak nie przyniosło to oczekiwanych skutków:
codec => plain
{
charset => "ASCII-8BIT"
}

Wersja logstash: 6.2.4

Pipeline:
input {
snmptrap {
type => "snmptrap"
community => [ "public", "cisco" ]
port => 5162
yamlmibdir => "/usr/share/logstash/vendor/bundle/jruby/2.3.0/gems/snmp-1.3.1/data/ruby/snmp/mibs"
tags => [ "snmp" ]
codec => plain
{
charset => "ASCII-8BIT"
}
}
}

spotkał się ktoś z taką sytuacją?