Вопросы Теги

Как узнать, отправляются ли данные filebeat в logstash

Когда я открываю интерфейс Kibana, Я получаю сообщение об ошибке при настройке индекса, когда в качестве запроса вводится logstash- *:

ошибка kibana: укажите шаблон индекса по умолчанию

Как я могу узнать, отправляет ли filebeat журналы в logstash? Я точно следил за учебниками по filebeat и ELK stack. Я вижу данные, когда вхожу в filebeat- * в Kibana, но ничего не вижу, когда я вхожу в logstash- * в Kibana.

2
задан 18 January 2017 в 04:03
4 ответа

Если вы следовали официальному руководству по началу работы с Filebeat и перенаправляете данные из Filebeat -> Logstash -> Elasticearch, то данные, созданные Filebeat, должны содержаться в индекс filebeat-YYYY.MM.dd . Он использует индекс filebeat - * вместо индекса logstash - * , так что он может использовать свой собственный шаблон индекса и иметь исключительный контроль над данными в этом индексе.

Итак. в Kibana следует настроить шаблон индексации на основе времени на основе шаблона индекса filebeat - * вместо logstash - * . В качестве альтернативы вы можете запустить сценарий import_dashboards , поставляемый с Filebeat, и он установит для вас шаблон индекса в Kibana. Путь к сценарию import_dashboards может различаться в зависимости от того, как вы установили Filebeat. Это для Linux при установке через RPM или deb.

/ usr / share / filebeat / scripts / import_dashboards -es http: // localhost: 9200

Вы можете проверить, содержатся ли данные в filebeat- YYYY.MM.dd index в Elasticsearch с помощью команды curl, которая выведет количество событий.

curl http: // localhost: 9200 / filebeat - * / _ count? Pretty

И вы можете проверить Filebeat регистрирует ошибки, если у вас нет событий в Elasticsearch. Журналы по умолчанию расположены в / var / log / filebeat / filebeat в Linux. Вы можете повысить уровень детализации, установив logging.level: debug в вашем файле конфигурации.

1
ответ дан 3 December 2019 в 12:37

Filebeat хранит информацию о том, что было отправлено в logstash. Отметьте ~ / .filebeat (для пользователя, который запускает filebeat).

Вы также можете запустить отладку в filebeat, которая покажет вам, когда информация будет отправлена ​​в logstash.

EDIT: на основе новой информации обратите внимание, что вам нужно указать filebeat, какие индексы он должен использовать. Перейдите на вкладку «Настройки» и настройте там шаблон индекса. Вот документ .

0
ответ дан 3 December 2019 в 12:37

Если Filebeat установлен с использованием RPM или DEB пакеты:

Журналы по умолчанию хранятся в journald. Для просмотра журналов используйте journalctl: 

journalctl -u filebeat.service

Дополнительная информация доступна по адресу Filebeat Logs

0
ответ дан 21 April 2020 в 06:50

Вы также можете проверить файл в папке 

/etc/log/filebeat/

, возможно, с помощью 

tail -f filebeat
0
ответ дан 28 May 2021 в 14:13

Теги

Похожие вопросы