У меня есть новый докеризированный экземпляр Graylog v3.0, и я отправляю в него логи из filebeat.
filebeat.autodiscover:
providers:
# autodiscover docker log streams:
- type: docker
[...]
# my containers are loggin in JSON format, so i extract there:
config:
fields_under_root: true
json.message_key: log
json.add_error_key: false
output.logstash:
hosts: ["${GRAYLOG_HOST}:${GRAYLOG_PORT}"]
compression_level: 0
bulk_max_size: 1024
затем в сером журнале у меня настроен вход "Удар" (не "Удары (устарели)"):
bind_address: 0.0.0.0
no_beats_prefix: false
number_worker_threads: 3
port: 5044
На самом деле я получаю сообщения на этот вход:
Throughput / Metrics
1 minute average rate: 395 msg/s
, и я также могу видеть количество сообщений в секунду в верхней панели навигации.В разделе «Индексы» я вижу свой индекс ES, и он наверняка содержит что-то:
Default index set 1 index, 6,247,009 documents, 3.4GB
И я даже вижу «Все сообщения», получающие сообщения:
Stream containing all messages
4 messages/second. The default stream contains all messages.
Однако,Я не могу найти никаких сообщений в этом потоке.Я также запускаю в основном ванильный образ с очень небольшим количеством модификаций, и у меня заканчиваются идеи о том, где проверить.