Как посмотреть, отправляются ли данные filebeat в logstash

Question

Как посмотреть, отправляются ли данные filebeat в logstash

Когда я открываю интерфейс Kibana, я получаю сообщение об ошибке при настройке индекса, когда logstash-* вводится как запрос:

ошибка kibana: пожалуйста, укажите шаблон индекса по умолчанию

Как узнать, отправляет ли filebeat логи в logstash? Я точно следовал учебникам по filebeat и ELK. Я вижу данные, когда я вхожу в filebeat-* в Kibana, но ничего, когда я вхожу в logstash-* в Kibana.

4

logstash filebeat

Источник

Celeste Manu 18 янв '17 в 02:03

4 ответа

Другие вопросы по тегам logstash filebeat

Alain Collins 18 янв '17 в 02:06 2017-01-18 02:06 · Answer 1 · 2017-01-18 02:06

Filebeat хранит информацию о том, что он отправил в logstash. Проверьте ~/.filebeat (для пользователя, который запускает filebeat).

Вы также можете запустить отладку в filebeat, которая покажет вам, когда информация отправляется в logstash.

РЕДАКТИРОВАТЬ: основываясь на новой информации, обратите внимание, что вам нужно указать filebeat, какие индексы он должен использовать. Перейдите на вкладку "Настройки" и настройте там индексный шаблон. Вот док.

A J 18 янв '17 в 19:08 2017-01-18 19:08 · Answer 2 · 2017-01-18 19:08

Если вы следовали официальному руководству по началу работы с Filebeat и направляете данные из Filebeat -> Logstash -> Elasticearch, то данные, созданные Filebeat, должны содержаться в filebeat-YYYY.MM.dd индекс. Он использует filebeat-* индекс вместо logstash-* индекс, чтобы он мог использовать свой собственный шаблон индекса и иметь исключительный контроль над данными в этом индексе.

Поэтому в Кибане вы должны настроить шаблон индекса на основе времени, основанный на filebeat-* шаблон индекса вместо logstash-*, В качестве альтернативы вы можете запустить import_dashboards Скрипт поставляется с Filebeat, и он установит шаблон индекса в Kibana для вас. Путь к import_dashboards Сценарий может варьироваться в зависимости от того, как вы установили Filebeat. Это для Linux при установке через RPM или deb.

/usr/share/filebeat/scripts/import_dashboards -es http://localhost:9200

Вы можете проверить, содержатся ли данные в filebeat-YYYY.MM.dd index в Elasticsearch с помощью команды curl, которая напечатает счетчик событий.

curl http://localhost:9200/filebeat-*/_count?pretty

И вы можете проверить журналы Filebeat на наличие ошибок, если у вас нет событий в Elasticsearch. Журналы расположены по адресу /var/log/filebeat/filebeat по умолчанию в Linux. Вы можете увеличить многословие, установив logging.level: debug в вашем конфигурационном файле.

21 апр '20 в 09:50 2020-04-21 09:50 · Answer 3 · 2020-04-21 09:50

Если Filebeat установлен с использованием пакетов RPM или DEB:

Журналы по умолчанию хранятся в journald. Для просмотра журналов используйте journalctl:

journalctl -u filebeat.service

Дополнительная информация доступна в журналах Filebeat.

0

Источник

21 апр '20 в 09:50

Xfox 28 май '21 в 14:13 2021-05-28 14:13 · Answer 4 · 2021-05-28 14:13

Вы также можете проверить файл внутри папки

      /etc/log/filebeat/

может быть с

      tail -f filebeat

0

Источник

Xfox 28 май '21 в 14:13