В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

E.L.K.

141 membersпожаловаться на группу
2019 October 16

D

Dmitry in E.L.K.
спасибо
источник
12:09пожаловаться#1

D

Dmitry in E.L.K.
что странно. согласно оф. доке, containers.ids is required. All other settings are optional. но если я так делаю, то Error while initializing input: each input must have at least one path defined. что не так?
источник
17:36пожаловаться#2

D

Dmitriy in E.L.K.
скинь весь конфиг
источник
17:38пожаловаться#3

D

Dmitry in E.L.K.
он длинный
источник
17:38пожаловаться#4

D

Dmitriy in E.L.K.
ну ок. input
источник
17:39пожаловаться#5

D

Dmitry in E.L.K.
filebeat.inputs:
- type: container
  containers.ids: '*'
  containers.paths:
    - /var/lib/docker/containers/*/*.log
  json.keys_under_root: true
  json.add_error_key: true
  tags: ["docker"]
источник
17:39пожаловаться#6

D

Dmitriy in E.L.K.
Dmitriy
https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-input-docker.html
www.elastic.co
Docker input
       | Filebeat Reference [7.4]
     | Elastic
type: docker
источник
17:40пожаловаться#7

D

Dmitry in E.L.K.
Deprecated in 7.2.0. Use container input instead.
источник
17:40пожаловаться#8

D

Dmitriy in E.L.K.
ох. надо поковырять... я на 6.8 упорно сижу
источник
17:41пожаловаться#9

D

Dmitry in E.L.K.
еще меня сильно волнует то, что в /var/lib/docker/containers/ логи контейнеров, которых уже нет в списке. как-то можно ограничиться только логами запущенных контейнеров? без хардкода
источник
17:42пожаловаться#10

D

Dmitriy in E.L.K.
да. тут все веселее - теперь надо использовать autodiscover, и в нем формировать шаблоны для input
источник
17:57пожаловаться#11

D

Dmitriy in E.L.K.
https://www.elastic.co/guide/en/beats/filebeat/current/configuration-autodiscover.html
www.elastic.co
Autodiscover
       | Filebeat Reference [7.4]
     | Elastic
источник
17:58пожаловаться#12
2019 October 17

СК

Сергей Краснов in E.L.K.
Всем привет! Подскаижите, пожалуйста, по использованию grok match overwrite
источник
07:47пожаловаться#13

СК

Сергей Краснов in E.L.K.
есть в Логстеш такая конструкция:
источник
07:48пожаловаться#14

СК

Сергей Краснов in E.L.K.
которая должна удалять из поля winlog.data_event.TargetUserName из записи v.pupkin@domain часть с @domain
источник
07:50пожаловаться#15

СК

Сергей Краснов in E.L.K.
но вместо этого в поле оказывается две записи "v.pupkin@domain, v.pupkin". что я делаю не так? вроде всё по документации...
источник
07:50пожаловаться#16

D

Dmitriy in E.L.K.
хм. а через gsub не проще?
источник
07:51пожаловаться#17

СК

Сергей Краснов in E.L.K.
не знаю, не пробовал. но по идее и это должно было работать, просто поле не перезаписывается, а дополняется почему-то
источник
07:52пожаловаться#18

D

Dmitriy in E.L.K.
есть подозрение, что на owerwrite нужно отдавать не значение, а массив со значением. https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html#plugins-filters-grok-overwrite
www.elastic.co
Grok filter plugin
       | Logstash Reference [7.5]
     | Elastic
источник
07:56пожаловаться#19

СК

Сергей Краснов in E.L.K.
Dmitriy
есть подозрение, что на owerwrite нужно отдавать не значение, а массив со значением. https://www.elastic.co/guide/en/logstash/current/plugins-filters-grok.html#plugins-filters-grok-overwrite
www.elastic.co
Grok filter plugin
       | Logstash Reference [7.5]
     | Elastic
хм, а разве массив с одним элементом как-то по-особому обозначается?
источник
08:08пожаловаться#20