debian Syslog (graylog) Server umzug

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

debian Syslog (graylog) Server umzug

Beitrag von joe2017 » 09.04.2021 13:00:54

Hallo zusammen,

ich habe einen syslog (graylog) Server am laufen und möchte diesen gerade auf eine andere Maschine neu installieren.
Die istallation funktiooniert ohne Probleme. Folgede Komponenten sind installiert:

mongodb 4.4
elastic 7.x
graylog 4.0.6

Ich hatte den alten Server mit Client Zertifikaten am laufen.
Hierfür wurde eine Input im graylog angelegt. Ich habe alles übernommen und gleich konfiguriert.

Wenn ich jetzt versuche mit einem Client meine Logs zu senden erhalte ich folgende fehlermeldung im Log

Code: Alles auswählen

unexpected GnuTLS error -54 in nsd_gtls.c:1917: Erroro in the pull function.
Starte ich den alten Syslog Server funktioniert alles.
Ich habe mittlerweile alles mehrfach durchsucht. Ich finde jedoch keinen Fehler.

Hat zufällig jemand eine Idee wo ich noch schauen könnte?
Zuletzt geändert von joe2017 am 13.04.2021 09:01:44, insgesamt 1-mal geändert.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: debian Syslog (graylog) Server umzug

Beitrag von joe2017 » 09.04.2021 13:15:07

Kann es sein, dass sich ein client bei einem Syslog registriert und nur noch zu diesen einen sendet?
Muss ich am client evtl. ein Befehl zum reconnect durchführen?
Zuletzt geändert von joe2017 am 13.04.2021 09:02:04, insgesamt 2-mal geändert.

Benutzeravatar
habakug
Moderator
Beiträge: 4313
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: debian Syslog (greylog) Server umzug

Beitrag von habakug » 10.04.2021 10:50:58

Hallo,

hier [1] hat es einer zusammengetragen.

Gruss, habakug

[1] https://github.com/john-babio/graylog
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: debian Syslog (graylog) Server umzug

Beitrag von joe2017 » 13.04.2021 07:28:25

Guten morgen und danke für den Link.

Ich habe ja kein Problem mit dem Zertifikat. Ich habe ein Zertifikat für meinen alten Server erstellt. Diese haben ja bereits funktioniert.
Ich habe diese Zertifikate auf meinen neuen Server übertragen. Dieser had den selben Namen und IP.
Somit sollte das eigentlich funktionieren.
Zuletzt geändert von joe2017 am 13.04.2021 09:02:17, insgesamt 1-mal geändert.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: debian Syslog (graylog) Server umzug

Beitrag von joe2017 » 13.04.2021 08:58:17

Anbei nochmal die vollständige Meldung vom Client:

Code: Alles auswählen

rsyslogd:  [origin software="rsyslogd" swVersion="8.1901.0" x-pid="27029" x-info="https://www.rsyslog.com"] start
rsyslogd: unexpected GnuTLS error -54 in nsd_gtls.c:1917: Error in the pull function.  [v8.1901.0 try https://www.rsyslog.com/e/2078 ]
rsyslogd: action 'action-0-builtin:omfwd' suspended (module 'builtin:omfwd'), retry 0. There should be messages before this one giving the reason for suspension. [v8.1901.0 try https://www.rsyslog.com/e/2007 ]
rsyslogd: unexpected GnuTLS error -54 in nsd_gtls.c:1917: Error in the pull function.  [v8.1901.0 try https://www.rsyslog.com/e/2078 ]
rsyslogd: action 'action-0-builtin:omfwd' suspended (module 'builtin:omfwd'), next retry is Tue Apr 13 08:50:50 2021, retry nbr 0. There should be messages before this one giving the reason for suspension. [v8.1901.0 try https://www.rsyslog.com/e/2007 ]
Der einzige Unterschied zu den beiden Servern ist das Upgrade der Komponenten.

Alter Server

Code: Alles auswählen

mongodb 4.2
elastic 6.x
graylog 3.3
Neuer Server

Code: Alles auswählen

mongodb 4.4
elastic 7.x
graylog 4.0

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: debian Syslog (graylog) Server umzug

Beitrag von joe2017 » 15.04.2021 07:17:00

Also ich finde hier nicht was das Problem sein könnte?
Ich habe schon mehrfach alle Konfigurationen und Berechtigungen überprüft.

Hat niemand eine Idee oder Tipp für mich?

Benutzeravatar
habakug
Moderator
Beiträge: 4313
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: debian Syslog (graylog) Server umzug

Beitrag von habakug » 15.04.2021 16:36:33

Hallo,

hast du den root-Hash und den Pfeffer in der Graylog "server.conf" übernommen? ("password_secret =" und "root_password_sha2 =")

Gruss, habakug
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: debian Syslog (graylog) Server umzug

Beitrag von joe2017 » 16.04.2021 09:36:42

Schönen guten Morgen habakug,

ja den habe ich übernommen.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: debian Syslog (graylog) Server umzug

Beitrag von joe2017 » 21.04.2021 20:12:15

Leider funktioniert das immer noch nicht. Ich finde den Fehler einfach nicht. Hat jemand eine Idee wo ich noch nachschauen könnte?

Antworten