<div dir="ltr">Anytime I had this error is was in java library path for the module. <div><br></div><div>Try adding client_lib_dir(&quot;/opt/elasticsearch/lib&quot;) to your <span style="font-size:12.8px">d_elastic destination.  </span></div><div><span style="font-size:12.8px">With the right path to es libs. </span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px"><br></span></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Sep 29, 2016 at 7:56 PM, Russell Fulton <span dir="ltr">&lt;<a href="mailto:r.fulton@auckland.ac.nz" target="_blank">r.fulton@auckland.ac.nz</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi folks<br>
<br>
I am trying to get some parsed logs into elasticssearch but have ended up with a cryptic error message:<br>
<br>
Starting syslog-ng<br>
/usr/lib/jvm/java-1.7.0-<wbr>oracle-1.7.0.91.x86_64/jre/<wbr>lib/amd64/server<br>
[2016-09-30T12:43:43.649899] Error initializing message pipeline;<br>
<br>
which almost certainly relates to the ES set up but I have no idea what is actually wrong.  The ES logs do not show anything.<br>
<br>
Config file:<br>
@version: 3.8<br>
@module mod-java<br>
@include &quot;scl.conf&quot;<br>
<br>
<br>
options {<br>
        use_dns (no);<br>
        use_fqdn (no);<br>
        keep_hostname (yes);<br>
};<br>
<br>
<br>
source s_loghost {<br>
    tcp(flags(no-multi-line) port(1514) keep-alive(yes));<br>
};<br>
<br>
destination d_syslog { file(&quot;/var/log/syslog.log&quot;); };<br>
<br>
destination d_elastic {<br>
  elasticsearch(<br>
    index(&quot;auth_${YEAR}.${MONTH}.$<wbr>{DAY}&quot;)<br>
    type(&quot;auth&quot;)<br>
    cluster(&quot;security&quot;)<br>
    flush-limit(&quot;1000&quot;)<br>
  );<br>
};<br>
<br>
parser p_patterns {  db-parser( file(&quot;/etc/syslog-ng/merged.<wbr>xml&quot;)); };<br>
<br>
log {<br>
<br>
    source(s_loghost);<br>
    parser (p_patterns);<br>
    destination(d_elastic );<br>
<br>
};<br>
<br>
The same configuration with a json file destination works fine.<br>
<br>
Any hints on what to look at appreciated.<br>
<br>
The ES instance running on the host is set to data: no and I expect it to ship the data to one of the other nodes which has storage.<br>
<br>
Russell (who admits to being an ES novice)<br>
______________________________<wbr>______________________________<wbr>__________________<br>
Member info: <a href="https://lists.balabit.hu/mailman/listinfo/syslog-ng" rel="noreferrer" target="_blank">https://lists.balabit.hu/<wbr>mailman/listinfo/syslog-ng</a><br>
Documentation: <a href="http://www.balabit.com/support/documentation/?product=syslog-ng" rel="noreferrer" target="_blank">http://www.balabit.com/<wbr>support/documentation/?<wbr>product=syslog-ng</a><br>
FAQ: <a href="http://www.balabit.com/wiki/syslog-ng-faq" rel="noreferrer" target="_blank">http://www.balabit.com/wiki/<wbr>syslog-ng-faq</a><br>
<br>
</blockquote></div><br></div>