Graylog in einer neuen Version...
In Graylog gibt es also eine neue Version. 3.2 (wir hatten bisher 3.1 im Einsatz...). Streng nach dem Motto "latest-greatest-bits-and-bytes" mussten wir ein Update des bisherigen Systems machen.
Die Unterschiede und Neuerungen werden gut in https://docs.graylog.org/en/3.2/pages/changelog.html oder auch https://www.graylog.org/post/getting-things-done-with-graylog-v3-2 beschrieben, sichtbar sind die Änderungen im Bereich der Suche, diese ist nun etwas intuitiver gestaltet (man erspart sich bspw. das drücken des "Play"-Buttons, wenn man Kriterien der Suche ändert...). Das Upgrade selbst ist "Schmerzfrei", ein Dashboard unserer Installation wurde nicht migriert, ob es an der Konfiguration liegt kann ich nicht sagen; eine Neuerstellung ist aber rasch umgesetzt.
Da wir das Testsystem nicht jeden Tag im Auge haben, ist uns bei der Installation aufgefallen, dass beim Starten viele Fehlermeldungen der Art auftreten (/var/log/graylog-server/server.log):
2020-03-31T09:47:34.608+02:00 WARN [Messages] Failed to index message: index=<graylog_2> id=<e2333dc0-7323-11ea-aa02-5216256576ab> error=<
{"type":"cluster_block_exception","reason":"blocked by: [FORBIDDEN/12/index read-only / allow delete (api)];"}>
Eine Suche ergab, dass wir nicht die einzigen mit dem Problem sind:
https://community.graylog.org/t/indexer-failures-new/10502/4
Der Index im Elasticsearch Cluster war also im read-only-Modus, weil der Plattenplatz ausgegangen ist. Ein ganz klarer Fall von: Es macht Sinn, in checkmk auch die Testsysteme anzuschau'n :).
Nach den Operationen (vergleiche bspw. https://askubuntu.com/questions/24027/how-can-i-resize-an-ext-root-partition-at-runtime):
Aber zurück zum Ursprünglichen Problem: Der Hinweis zur Lösung ist auch direkt im obigen Link enthalten:
curl -XPUT -H "Content-Type: application/json" https://localhost:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'
Und damit ab in unseren Lieblingseditor: Visual Studio Code. Da sind zumindest zwei Plugins, die diese Aufgaben (Elasticsearch Parameter ändern...) übernehmen können:
- https://marketplace.visualstudio.com/items?itemName=ria.elastic&ssr=false#overview
- https://marketplace.visualstudio.com/items?itemName=crasnam.elasticdeveloper
Zweiteres hat unseren kurzen Test der Funktionalität gewonnen: Der Cluster kann einfach eingebunden werden und über eine Verzeichnisstruktur untersucht werden. Ebenso kann man einfach (ohne commandline) obiges Kommando zum Cluster schicken. Daher ist das eine klare Empfehlung von uns!
Hier noch ein screenshot vom Elasticdeveloper im VS Code:
- Der Explorer
- Das oben besprochene Kommando, das einfach über einen hyperlink abgesendet werden kann
- Die Rückmeldung vom Server...
