Graylog: Wie Sie das Problem lösen

Diese Dokumentation ist Teil des Daten-Mapping-Probleme-Leitfadens. Den vollständigen Leitfaden finden Sie hier: Wie Sie Probleme mit dem Daten-Mapping von Graylog-Indizes lösen.

👋 Willkommen bei der Stackhero-Dokumentation!

Stackhero bietet eine einsatzbereite Graylog Cloud-Lösung, die zahlreiche Vorteile bietet, darunter:

  • Unbegrenzter und dedizierter SMTP-E-Mail-Server inklusive.
  • Mühelose Updates mit nur einem Klick.
  • Anpassbarer Domainname gesichert mit HTTPS (zum Beispiel, https://logs.ihre-firma.com).
  • Optimale Performance und robuste Sicherheit durch eine private und dedizierte VM.

Sparen Sie Zeit und vereinfachen Sie Ihr Leben: Es dauert nur 5 Minuten, um die Graylog Cloud Hosting-Lösung von Stackhero auszuprobieren!

Um dieses Problem zu beheben, haben Sie zwei Möglichkeiten:

Die ideale Lösung besteht darin, die verwendeten Datentypen für Felder über alle Systeme hinweg, die Daten an Graylog senden, zu standardisieren. Stellen Sie beispielsweise sicher, dass das Feld "level" immer entweder als String (wie "error", "warn" usw.) oder immer als Zahl (3, 4 usw.) gesendet wird. Diese Konsistenz verhindert Mapping-Konflikte und stellt sicher, dass alle Dokumente korrekt verarbeitet werden.

Falls eine Standardisierung der Datentypen über alle Systeme hinweg nicht möglich ist, können Sie die Pipelines-Funktion von Graylog verwenden, um Datentypen bei der Verarbeitung zu konvertieren. Mit Pipelines können Sie Regeln definieren, die Daten basierend auf bestimmten Bedingungen transformieren.

So setzen Sie diese Lösung um:

  • Navigieren Sie in der Graylog-Weboberfläche zu "System" > "Pipelines".
  • Klicken Sie auf "Add new pipeline", um eine neue Pipeline zu erstellen.
  • Definieren Sie Regeln, um das Feld "level" (oder andere Felder) in den gewünschten Datentyp zu konvertieren. Beispielsweise können Sie numerische Level-Werte in die entsprechenden String-Repräsentationen umwandeln (z. B. 3 zu "error", 4 zu "warning" usw.).

Mit diesem Ansatz stellen Sie sicher, dass alle eingehenden Daten den erwarteten Datentypen entsprechen und Mapping-Konflikte vermieden werden.