询问流利的系统日志聚合器

Question

我已经设置了一个 fluentd 节点来接收任何 syslog 消息并将其发送到 graylog。

但是目前 Graylog 并没有接收到之前 fluentd 接收到的所有日志。如果我检查 td-agent.log fluentd 已经收到日志，但似乎没有全部发送到 graylog。

这是我的 td-agent.conf 配置

<source>
  @type syslog
  port 5140
  bind 0.0.0.0
  tag system
</source>
<match system**>
  @type copy
  <store>
    @type gelf
    host 10.150.2.21
    port 5140
    flush_interval 5s
  </store>
  <store>
     @type stdout
  </store>

</match>

有人可以帮我吗？

Answer 1

检查/var/log/graylog-server/server.log的graylog服务器日志是否有错误，可能是字段类型有问题（混合类型：num，ES无法存储的字符串）。如果是这样，请尝试在 EL 中为受影响的字段创建自定义索引映射。

https://docs.graylog.org/en/3.3/pages/configuration/elasticsearch.html#custom-index-mappings