So erkennen Sie, ob Filebeat-Daten an Logstash gesendet werden

Question 1

Filebeat speichert Informationen darüber, was es an Logstash gesendet hat. Überprüfen Sie ~/.filebeat (für den Benutzer, der Filebeat ausführt).

Sie können das Debuggen auch in Filebeat beschleunigen, wodurch Sie angezeigt werden, wenn Informationen an Logstash gesendet werden.

EDIT: Beachten Sie, dass Sie Filebeat anhand der neuen Informationen mitteilen müssen, welche Indizes verwendet werden sollen. Gehen Sie zur Registerkarte „Einstellungen“ und konfigurieren Sie dort ein Indexmuster. Hier istder Arzt.

Answer

Filebeat speichert Informationen darüber, was es an Logstash gesendet hat. Überprüfen Sie ~/.filebeat (für den Benutzer, der Filebeat ausführt).

Sie können das Debuggen auch in Filebeat beschleunigen, wodurch Sie angezeigt werden, wenn Informationen an Logstash gesendet werden.

EDIT: Beachten Sie, dass Sie Filebeat anhand der neuen Informationen mitteilen müssen, welche Indizes verwendet werden sollen. Gehen Sie zur Registerkarte „Einstellungen“ und konfigurieren Sie dort ein Indexmuster. Hier istder Arzt.

Question 2

Wenn Sie dieoffizielles Filebeat-Handbuch für die ersten Schritteund Daten von Filebeat -> Logstash -> Elasticearch weiterleiten, dann sollen die von Filebeat erzeugten Daten in einem filebeat-YYYY.MM.ddIndex enthalten sein. Es verwendet den filebeat-*Index anstelle des logstash-*Indexes, sodass es seine eigene Indexvorlage verwenden und die exklusive Kontrolle über die Daten in diesem Index haben kann.

Daher sollten Sie in Kibana ein zeitbasiertes Indexmuster basierend auf dem filebeat-*Indexmuster konfigurieren, anstatt auf logstash-*. Alternativ können Sie das import_dashboardsmit Filebeat bereitgestellte Skript ausführen und es installiert für Sie ein Indexmuster in Kibana. Der Pfad zum import_dashboardsSkript kann je nach Installationsmethode von Filebeat unterschiedlich sein. Dies gilt für Linux bei Installation über RPM oder Deb.

/usr/share/filebeat/scripts/import_dashboards -es http://localhost:9200

filebeat-YYYY.MM.ddMit einem Curl-Befehl, der die Ereignisanzahl ausgibt, können Sie überprüfen, ob ein Index in Elasticsearch Daten enthält .

curl http://localhost:9200/filebeat-*/_count?pretty

Und Sie können die Filebeat-Protokolle auf Fehler überprüfen, wenn Sie keine Ereignisse in Elasticsearch haben. Die Protokolle befinden sich /var/log/filebeat/filebeatunter Linux standardmäßig unter. Sie können die Ausführlichkeit erhöhen, indem Sie dies logging.level: debugin Ihrer Konfigurationsdatei einstellen.

Answer

Wenn Sie dieoffizielles Filebeat-Handbuch für die ersten Schritteund Daten von Filebeat -> Logstash -> Elasticearch weiterleiten, dann sollen die von Filebeat erzeugten Daten in einem filebeat-YYYY.MM.ddIndex enthalten sein. Es verwendet den filebeat-*Index anstelle des logstash-*Indexes, sodass es seine eigene Indexvorlage verwenden und die exklusive Kontrolle über die Daten in diesem Index haben kann.

Daher sollten Sie in Kibana ein zeitbasiertes Indexmuster basierend auf dem filebeat-*Indexmuster konfigurieren, anstatt auf logstash-*. Alternativ können Sie das import_dashboardsmit Filebeat bereitgestellte Skript ausführen und es installiert für Sie ein Indexmuster in Kibana. Der Pfad zum import_dashboardsSkript kann je nach Installationsmethode von Filebeat unterschiedlich sein. Dies gilt für Linux bei Installation über RPM oder Deb.

/usr/share/filebeat/scripts/import_dashboards -es http://localhost:9200

filebeat-YYYY.MM.ddMit einem Curl-Befehl, der die Ereignisanzahl ausgibt, können Sie überprüfen, ob ein Index in Elasticsearch Daten enthält .

curl http://localhost:9200/filebeat-*/_count?pretty

Und Sie können die Filebeat-Protokolle auf Fehler überprüfen, wenn Sie keine Ereignisse in Elasticsearch haben. Die Protokolle befinden sich /var/log/filebeat/filebeatunter Linux standardmäßig unter. Sie können die Ausführlichkeit erhöhen, indem Sie dies logging.level: debugin Ihrer Konfigurationsdatei einstellen.

Question 3

Wenn Filebeat mit RPM- oder DEB-Paketen installiert wird:

Protokolle werden standardmäßig in journald gespeichert. Um die Protokolle anzuzeigen, verwenden Sie journalctl:

journalctl -u filebeat.service

Weitere Informationen finden Sie unterFilebeat-Protokolle

Answer

Wenn Filebeat mit RPM- oder DEB-Paketen installiert wird:

Protokolle werden standardmäßig in journald gespeichert. Um die Protokolle anzuzeigen, verwenden Sie journalctl:

journalctl -u filebeat.service

Weitere Informationen finden Sie unterFilebeat-Protokolle

Question 4

Sie können auch die Datei im Ordner überprüfen

/etc/log/filebeat/

vielleicht mit

tail -f filebeat

Answer

Sie können auch die Datei im Ordner überprüfen

/etc/log/filebeat/

vielleicht mit

tail -f filebeat

So erkennen Sie, ob Filebeat-Daten an Logstash gesendet werden

Antwort1

Antwort2

Antwort3

Antwort4

verwandte Informationen