Kibana no presenta Logs

Jose_David_Silva_Gar · April 8, 2024, 8:34pm

Buenas tardes

Espero que se encuentren bien tengo ELK Stack 7.3.1, hace un par de horas kibana dejo de mostrar logs, como se muestra en la imagen:

si reviso el Index Management, si esta recibiendo logs y se nota como va incrementado los Docs Count y el Storage size

ya hice varias cosas como:

Reiniciar el servicio.
Reiniciar el Servidor.
pare el servicio y revise logstash con stdout y ve los log que llegan y veo que se reflejan en el index pero no aparecen.

espero puedan darme alguna idea de que podría pasar

Saludos y Excelente dia

jsanz · April 9, 2024, 10:44am

Hola, puede ser que tus documentos nuevos tengan la fecha que usas para el index pattern en un campo distinto o algo así?

Te diría que usando la Consola, revises documentos "nuevos" y los compares con los que sí salen en Discover. Otra cosa no se me ocurre, sinceramente.

Jose_David_Silva_Gar · April 10, 2024, 8:28pm

Gracias por el dato lo voy a revisar y aviso si es algo asi.

Saludos

Jose_David_Silva_Gar · April 10, 2024, 11:17pm

Hola, ya encontr el problea no se si puedes apoyarme te comento tengo mi archivo conf asi de la siguiente manera:

filter{
    if [log_tag] == "pfsense_1" or [log_tag] == "pfsense_2" {
           grok {
                   match => {
                       "message" => "<%{INT:evento_prim}>%{SYSLOGTIMESTAMP:timestamp}\s%{WORD:tipo}%{DATA:Dato_01}%{INT:evento_sec}%{DATA:Dato_02}]:\s%{GREEDYDATA:csv_$
                   }
                   tag_on_failure => ["grok_failure"]
            }
            date {
                   match => ["timestamp", "MMM dd HH:mm:ss"]
            }
                mutate{
#                   remove_field => ["Dato_01","timestamp","Dato_02"]
                   convert => { "evento_prim" => "integer"}
                   convert => { "evento_sec" => "integer"}
                }
    }
}

y viendo el resultado me aparece asi:

{
          "@timestamp" => 2024-04-10T22:00:48.000Z,
           "timestamp" => "Apr 10 17:00:48",
             "message" => "<33>Apr 10 17:00:48 snort[58020]: [1:2016150:3] ET INFO Session Traversal Utilities for NAT (STUN Binding Response) [Classification: Misc activity] [Priority: 3] {UDP} xxx.xxx.xxx.xxx:3478 -> xxx.xxxx.xxx.xxxx:57583",

}

cuando se realiza la tranformacion de fecha en @timestamp por alguna razon me aumenta 5 hora en la fecha, ya intente cambiar con timezone => "-6:00" y nada, ya revise mi zona horario en el servidor de logstahs y esta correcta.

podrias darme algun consejo?

saludos y gracias

jsanz · April 11, 2024, 8:10am

No controlo mucho de Logstash, pero mirando la documentación de timezone tienes que pasar un identificador de zona horaria según esta web

https://joda-time.sourceforge.net/timezones.html

Saludos