LB_bei的博客

Syntax 语法graylog搜索日志用的语法是Syntax接近Lucene，搜起来比较方便。

找了半天没找到说的清楚的，只能抠官方文档graylog的归档（日志持久化）只有付费版才能用，所以日志只能存在es中。

Graylog Sidecar 是 Graylog 日志管理系统的一个组件，用于配置和管理通过 Filebeat、Winlogbeat、NXLog 或其他日志收集器发送的日志流。它的作用是管理和配置这些日志收集器，确保它们正确地发送日志数据到 Graylog 服务器。我用的是filebeat来传输日志文件，sidecar自带filebeat。

说是ES默认设置最大搜索窗口（index.max_result_window）为10000条，也是是搜索可以返回的条数。2.修改索引模板，从而新创建的索引也修改index.max_result_window。查了下可以修改index.max_result_window。在ES所在的服务器中输入以下指令。

直接用logback将控制台输出的日志发送到graylog上。

问题：graylog中search页面报错:While retrieving data for this widget, the following error(s) occurred: Elasticsearch exception [type=index_not_found_exception, reason=no such index []].解决办法：System > indices > [index name] > maintenance然后跳转到searc

我配置的Graylog是4版本的，因为更高级的版本没有针对centos官方文档挺详细，但有的地方可能会出问题。