Search Results

如果要看每個台服務的 log 檔都要到該台設備去查看記錄，這樣子太麻煩了因為有架設 graylog 服務，可以將這些服務上的記錄都傳到這一台 log 服務器上記錄並且察看 Nginx 的服務版本最起要在 1.11.8 以上版本才會有支援 escape=json。 vim /etc/nginx/nginx.conf 填入以下的內容 log_format graylog_json escape=json '{ "timestamp": "$time_iso8601", ' ...

官方的套件庫是有人提供，但是需要手動去設定 設定方式如下： 首先到 rsyslog 設定檔新增新的接收的 port 號 vim /etc/rsyslog.conf 在最後一行新增加下面的語法 *.* @127.0.0.1:5514;RSYSLOG_SyslogProtocol23Format 新增完之後存檔離開重啟服務 systemctl restart rsyslog 進到 graylog 設定服務 system 下的 inputs  新增加  syslog UDP 服務接收 ...

官方更新發佈新版本，目前版次是 3.1 版，官方對於新版更新內容請參考官方公告 ANNOUNCING GRAYLOG 3.1 首先更新官方來源的套件，並且進行安裝，指令如下 sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-3.1-repository_latest.rpm sudo yum clean all sudo yum install graylog-server 安裝完之後記得要重新 graylog 服務 s...

因 FortiGate 傳送的預設是 514 那我有修改成其他的 Port 號，去查看 Graylog 一直都收不到資料，去查下原因是因為要使用 Raw/Plaintext UDP 這個模式來接收 FortGate 上的資料 運行環境 Graylog 3.1.3 設定過程 先設來源 選擇 Raw/Plaintext UDP 方式來接收 設定內容 進到 rsyslog.com 新增一從接收來源 *.* @127.0.0.1:30000;RSYSLOG...

這是在 Graylog 3.1 之後版本所新增加功能，為了方便不用一直接重覆下條件去查，可以事先把條件都設定好並且直接查看當前的資訊 運行環境 Graylog 3.1.4 功能說明 在選單上有一個 Views 功能，選擇 Create new 新增 填所想要查詢的條件 在想要顯示資訊，選擇好之後滑鼠移過去會有一個下拉選單 選單會出這樣子的資訊，點選 Aggregate 點選完之後，畫面上會出現這樣子的畫面 右上角有一個按鍵 V...

官方更新發佈新版本，目前版次是 3.2 版，官方對於新版更新內容請參考官方公告 ANNOUNCING GRAYLOG 3.2 首先更新官方來源的套件，並且進行安裝，指令如下 sudo rpm -Uvh https://packages.graylog2.org/repo/packages/graylog-3.2-repository_latest.rpm sudo yum clean all sudo yum install graylog-server 安裝完之後先不要重啟服務，重啟之前先...

使用 Regular expression 方式來取得 message 訊息內容記錄，Regular expression 是使用 java 正規表示法編寫的 運行環境 Graylog 3.2.1 版本 取 IPv4值 大概解說，網段ip是由三個數字組成一組，那每一組中間都是會有一個 . 我們要把這個點排除，所以用 \. 來排除並且顯示出來 ((25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[0]?[0-9]?[0-9])\.(25[0-5]|2[0-4][0-9]|1[0-9]...

109.09.14 內容修改為 CentOS8 版本，並且修正安裝流程 運行環境 本工作室環境都是在 「Proxmox VE 」 虛擬系統上架設，都是以 「 LXC 」模式為主，除非有特殊狀況會告知使用 「 VM 」 模式 系統環境： CentOS 7 or CentOS 8 Web 服務： Nginx 1.18 第一步：更新系統 CentOS 7 系統更新： yum update -y 安裝pwgen、perl-Digest-SHA輔助工具，設定Graylog時用來生...

BUBU 因想了解一下各設備所傳回來的資訊有什麼，並且設置警告信件 109.09.15 因新版的新增方式不一樣，因此修正為新版取的方式 運行環境 Graylog 3.1.4 Graylog 3.3.5 設定方法 在 message 旁邊有一個下選單可以建立要用什麼方式取得內容資訊，那我目前都是用 Grok pattern 及 Regular expression 方式來建立的 3.1.4 之前版本新增的方式 3.3.5 之後版本新增的方式 ...

Graylog 官方已經正式公告 4 版已正式公開，如果想要更新到 4 版，要先把 Elasticsearch 先從 6.8 更新到 7.0 版 運行環境 本工作室環境都是在 「Proxmox VE 」 虛擬系統上架設，都是以 「 LXC 」模式為主，除非有特殊狀況會告知使用 「 VM 」 模式 系統環境： CentOS 8 Web 服務： Nginx 1.19 更新過程 先將 Elasticsearch 服務停止 systemctl stop elasticsearch.se...

BUBU 公司的 LOG 伺服器在因最近收集資料過多，造成某些功能無法正常顯示，導致出現下面圖片上的訊息 解決程過 經過官方論討區發現也有人出現過這樣子的問題，是說明 Elasticsearch 此服務無法處理這多流量造成無法正常顯示，那解決方式如下 修改 vim /etc/elasticsearch/jvm.options 設定檔，此地方是修改記憶體上的限制，如果您分配服務的記憶體有16G的話會建議這裡修改成8g ，也就是說會建議這裡的設定是您分配給服務記憶體的一半。 修改前 -Xms1g -Xmx1g 修...

  因為公司有的服務還是採用 Apache 服務，本篇是但是差在於 error 可能要在研究一下要怎麼設定了，我在網路找到一個簡單的設定。 進到 Apache 設定 vim /etc/httpd/conf/httpd.conf 找尋 LogFormat 這個在下面增加一行下面的設定 LogFormat "{ \"version\": \"1.1\", \"host\": \"%V\", \"short_message\": \"%r\", \"timestamp\": %{%s}t, \"level\":...

Graylog 的 SMTP 在網頁上是無法設定的，所以只能在 graylog 設定檔裡面做設定 設定方式 在 vim /etc/graylog/server/server.conf 設定檔裡面新增 # Email transport #transport_email_enabled = false #transport_email_hostname = mail.example.com #transport_email_port = 587 #transport_email_use_auth = true ...

Graylog 官方已經正式公告 4.3 版已正式公開 運行環境 本工作室環境都是在 「Proxmox VE 」 虛擬系統上架設，都是以 「 LXC 」模式為主，除非有特殊狀況會告知使用 「 VM 」 模式 系統環境： Debain 10 更新過程 安裝必要套件 sudo apt-get install apt-transport-https 下載 Graylog 4.3 的來源庫 wget https://packages.graylog2.org/repo/packages/graylog-4...

BUBU 公司的 LOG 伺服器在因最近收集資料過多，造成某些功能無法正常顯示，導致出現下面圖片上的訊息，這訊息是在說明因為索引太多字段關係造成無法正常顯示，在 Elasticsearch 預設只有 1000 字段，這需要在手動調整就可以正常顯示了 解決程過 官方有說明如何解決此索引字段問題 檢查該群組的字段狀況，檢查出來有 1029 字段。 curl -XGET 'localhost:9200/graylog_14/?pretty' | grep type | wc -l 修改字段參數 curl ...

BUBU 因最近有採買一台性能比較好的主機，將原本舊的設備上的服務都轉移到這台新設備上運行，因此之前無法使用 log 伺服器，現在可以重新架設一台並且轉換系統來運行服務。 110.10.02 內容修改為 Debian 10 版本，並且修正安裝流程 111.09.18 服務所安裝版本，目前最新版本是 Graylog 4.3 版 運行環境 本工作室環境都是在 「Proxmox VE 」 虛擬系統上架設，都是以 「 LXC 」模式為主，除非有特殊狀況會告知使用 「 VM 」 模式 系統環境： Debian 10 We...

  BUBU 因最近都在忙著處理公司的事情，沒有時間測試新的系統，那今日有空就將 Graylog 最新版重新安裝並且測試，雖然過程中有讓我卡關但是後來還是有處理好了。   本篇就是安裝目前官方最新版本記錄下來。 運行環境 本工作室環境都是在 「Proxmox VE 」 虛擬系統上架設，都是以 「 LXC 」模式為主，除非有特殊狀況會告知使用 「 VM 」 模式 系統環境： Debian 11 Web 服務： Nginx 1.24 更新系統 更新系統 sudo apt update && sudo apt...

因有時候想要了解都是那些國家來看服務那剛好 Graylog 剛好有提供這樣子的服務，可以讓您查看都是從那些國家來看服務的首先要先到 GeoLite2 提供免費的服務下載，提供有國家、城市及ASN，那我是下載城市這個檔案 109.01.10 在看功能是否有正常運行，發現到無法下載新版資訊，去官網查看，已經不在公開下載了要先註冊帳號後才能正常下載該資訊，所以要先註冊一個帳號才可以下載最新的資訊 設定流程 先到官方註冊，免費註冊一個帳號，註冊完之後再登入之後，會看到可以手動下載地方。 選擇要下載的檔案，我...