Как узнать, отправляются ли данные filebeat в logstash

Question 1

Filebeat сохраняет информацию о том, что он отправил в logstash. Проверьте ~/.filebeat (для пользователя, который запускает filebeat).

Вы также можете включить отладку в filebeat, которая покажет вам, когда информация отправляется в logstash.

EDIT: основываясь на новой информации, обратите внимание, что вам нужно указать filebeat, какие индексы он должен использовать. Перейдите на вкладку Settings и настройте там Index Pattern. Вотдок.

Answer

Filebeat сохраняет информацию о том, что он отправил в logstash. Проверьте ~/.filebeat (для пользователя, который запускает filebeat).

Вы также можете включить отладку в filebeat, которая покажет вам, когда информация отправляется в logstash.

EDIT: основываясь на новой информации, обратите внимание, что вам нужно указать filebeat, какие индексы он должен использовать. Перейдите на вкладку Settings и настройте там Index Pattern. Вотдок.

Question 2

Если вы следовалиофициальное руководство по началу работы с Filebeatи маршрутизируют данные из Filebeat -> Logstash -> Elasticearch, то данные, произведенные Filebeat, должны содержаться в filebeat-YYYY.MM.ddиндексе. Он использует filebeat-*индекс вместо logstash-*индекса, чтобы использовать свой собственный шаблон индекса и иметь исключительный контроль над данными в этом индексе.

Поэтому в Kibana вам следует настроить шаблон индекса на основе времени на основе filebeat-*шаблона индекса вместо logstash-*. В качестве альтернативы вы можете запустить import_dashboardsскрипт, предоставленный Filebeat, и он установит шаблон индекса в Kibana для вас. Путь к скрипту import_dashboardsможет отличаться в зависимости от того, как вы установили Filebeat. Это для Linux при установке через RPM или deb.

/usr/share/filebeat/scripts/import_dashboards -es http://localhost:9200

Проверить, содержатся ли данные в индексе Elasticsearch, можно filebeat-YYYY.MM.ddс помощью команды curl, которая выведет количество событий.

curl http://localhost:9200/filebeat-*/_count?pretty

И вы можете проверить логи Filebeat на наличие ошибок, если у вас нет событий в Elasticsearch. По умолчанию логи находятся /var/log/filebeat/filebeatв Linux. Вы можете увеличить детализацию, установив logging.level: debugв вашем конфигурационном файле.

Answer

Если вы следовалиофициальное руководство по началу работы с Filebeatи маршрутизируют данные из Filebeat -> Logstash -> Elasticearch, то данные, произведенные Filebeat, должны содержаться в filebeat-YYYY.MM.ddиндексе. Он использует filebeat-*индекс вместо logstash-*индекса, чтобы использовать свой собственный шаблон индекса и иметь исключительный контроль над данными в этом индексе.

Поэтому в Kibana вам следует настроить шаблон индекса на основе времени на основе filebeat-*шаблона индекса вместо logstash-*. В качестве альтернативы вы можете запустить import_dashboardsскрипт, предоставленный Filebeat, и он установит шаблон индекса в Kibana для вас. Путь к скрипту import_dashboardsможет отличаться в зависимости от того, как вы установили Filebeat. Это для Linux при установке через RPM или deb.

/usr/share/filebeat/scripts/import_dashboards -es http://localhost:9200

Проверить, содержатся ли данные в индексе Elasticsearch, можно filebeat-YYYY.MM.ddс помощью команды curl, которая выведет количество событий.

curl http://localhost:9200/filebeat-*/_count?pretty

И вы можете проверить логи Filebeat на наличие ошибок, если у вас нет событий в Elasticsearch. По умолчанию логи находятся /var/log/filebeat/filebeatв Linux. Вы можете увеличить детализацию, установив logging.level: debugв вашем конфигурационном файле.

Question 3

Если Filebeat установлен с использованием пакетов RPM или DEB:

Логи по умолчанию хранятся в journald. Для просмотра логов используйте journalctl:

journalctl -u filebeat.service

Более подробная информация доступна на сайтеЖурналы Filebeat

Answer

Если Filebeat установлен с использованием пакетов RPM или DEB:

Логи по умолчанию хранятся в journald. Для просмотра логов используйте journalctl:

journalctl -u filebeat.service

Более подробная информация доступна на сайтеЖурналы Filebeat

Question 4

Вы также можете проверить файл внутри папки

/etc/log/filebeat/

может быть с

tail -f filebeat

Answer

Вы также можете проверить файл внутри папки

/etc/log/filebeat/

может быть с

tail -f filebeat

Как узнать, отправляются ли данные filebeat в logstash

решение1

решение2

решение3

решение4

Связанный контент