Kibana no presenta Logs

Elastic In Your Native Tongue Elastic en Español
1

Buenas tardes

Espero que se encuentren bien tengo ELK Stack 7.3.1, hace un par de horas kibana dejo de mostrar logs, como se muestra en la imagen:

imagen
imagen1069×501 44.6 KB

si reviso el Index Management, si esta recibiendo logs y se nota como va incrementado los Docs Count y el Storage size

ya hice varias cosas como:

  • Reiniciar el servicio.
  • Reiniciar el Servidor.
  • pare el servicio y revise logstash con stdout y ve los log que llegan y veo que se reflejan en el index pero no aparecen.

espero puedan darme alguna idea de que podría pasar

Saludos y Excelente dia

2

Hola, puede ser que tus documentos nuevos tengan la fecha que usas para el index pattern en un campo distinto o algo así?

Te diría que usando la Consola, revises documentos "nuevos" y los compares con los que sí salen en Discover. Otra cosa no se me ocurre, sinceramente.

3

Gracias por el dato lo voy a revisar y aviso si es algo asi.

Saludos

4

Hola, ya encontr el problea no se si puedes apoyarme te comento tengo mi archivo conf asi de la siguiente manera:

filter{
    if [log_tag] == "pfsense_1" or [log_tag] == "pfsense_2" {
           grok {
                   match => {
                       "message" => "<%{INT:evento_prim}>%{SYSLOGTIMESTAMP:timestamp}\s%{WORD:tipo}%{DATA:Dato_01}%{INT:evento_sec}%{DATA:Dato_02}]:\s%{GREEDYDATA:csv_$
                   }
                   tag_on_failure => ["grok_failure"]
            }
            date {
                   match => ["timestamp", "MMM dd HH:mm:ss"]
            }
                mutate{
#                   remove_field => ["Dato_01","timestamp","Dato_02"]
                   convert => { "evento_prim" => "integer"}
                   convert => { "evento_sec" => "integer"}
                }
    }
}

y viendo el resultado me aparece asi:

{
          "@timestamp" => 2024-04-10T22:00:48.000Z,
           "timestamp" => "Apr 10 17:00:48",
             "message" => "<33>Apr 10 17:00:48 snort[58020]: [1:2016150:3] ET INFO Session Traversal Utilities for NAT (STUN Binding Response) [Classification: Misc activity] [Priority: 3] {UDP} xxx.xxx.xxx.xxx:3478 -> xxx.xxxx.xxx.xxxx:57583",

}

cuando se realiza la tranformacion de fecha en @timestamp por alguna razon me aumenta 5 hora en la fecha, ya intente cambiar con timezone => "-6:00" y nada, ya revise mi zona horario en el servidor de logstahs y esta correcta.

podrias darme algun consejo?

saludos y gracias

5

No controlo mucho de Logstash, pero mirando la documentación de timezone tienes que pasar un identificador de zona horaria según esta web

https://joda-time.sourceforge.net/timezones.html

Saludos