我在我的ELK系统中遇到了一些问题,这对客户端起作用如下:
FileBeat - > logstash - >弹性 - > Kibana
我们的部分日志类型没有从特定机器(UAT COB和PROD - 最繁忙的机器)到达Elastic 我怀疑问题出在Filebeat的日志收集中。 我试图在Elastic和GitHub网站上找到有关调试系统的一些信息,但我只创建了这些链接:
https://www.elastic.co/guide/en/beats/filebeat/current/command-line-options.html
https://github.com/elastic/beats/issues/3264
提供以下选项:
默认情况下,Filebeat将其所有输出发送到syslog。当你跑步 Filebeat在前台,可以使用-e命令行标志来 将输出重定向到标准错误。例如:
filebeat -e 默认配置文件是filebeat.yml( 文件的位置因平台而异)。你可以使用不同的 配置文件,通过指定-c标志。例如:
filebeat -e -c myfilebeatconfig.yml
你可以增加冗长度 通过启用一个或多个调试选择器来调试消息。例如, 要查看已发布的事务,可以使用以下命令启动Filebeat 像这样发布选择器:
filebeat -e -d“发布”
如果你想要所有的调试输出(公平 警告,它是相当多的),你可以使用*,像这样:
filebeat -e -d“*”
问题是第一个选项并没有告诉我我需要什么,而其他选项则提供了很多控制信息。 是否有其他选项可以使用此特定架构调试ELK?或命令行中还有其他选项吗?
供参考:
我已经尝试在我的机器上设置FileBeat服务,它使用相同的filebeat.yml配置进行预处理
答案 0 :(得分:0)
# The # character at the beginning of a line indicates a comment. Use
# comments to describe your configuration.
input {
}
# The filter part of this file is commented out to indicate that it is
# optional.
# filter {
#
# }
output {
}
您是否将此类配置作为logstash配置的一部分?如果是这样,输入的任何问题(在您的情况下为filebeat)将出现在logstash日志中。我在我的filebeat日志上使用了grok过滤器,因此日志也告诉我它是否无法解析日志行。