2

我有一个在一台 vm 机器上使用 elasticsearch、kibana、logstash 和在从属机器上使用 filebeat 的设置。我设法按照此处的教程从auth.log 文件发送系统日志消息和日志。在 filebeat 日志中,我看到消息已发布,但是当我尝试发送 json 文件时,我没有看到任何发布事件(由于超时,我只看到了 Flushing spooler。事件已刷新:0)。我的 filebeat.yml 文件是

    filebeat:
  prospectors:
    -
      paths:
      #  - /var/log/auth.log
      #  - /var/log/syslog
      #  - /var/log/*.log
        - /home/slave/data_2/*
      input_type: log

      document_type: log

  registry_file: /var/lib/filebeat/registry

output:
  logstash:
    hosts: ["192.168.132.207:5044"]

    tls:
      certificate_authorities: ["/etc/pki/tls/certs/logstash-forwarder.crt"]

shipper:

logging:
  level: debug
  to_files: true
  to_syslog: false
  files:
    path: /var/log/mybeat
    name: mybeat.log
    keepfiles: 7
    rotateeverybytes: 10485760 # = 10MB
4

3 回答 3

2

请注意,您的 filebeat.yml 中不允许使用制表符!!!!我使用记事本++并查看>显示>空白和TAB。果然在空白行中有一个 TAB 字符,并且 filebeat 不会启动。使用 filebeat -c filebeat.yml -configtest 它会给你更多信息。

于 2016-03-08T23:59:24.630 回答
0

不要忘记检查您的日志文件权限。如果所有内容都已植根,则 filebeat 将无权读取它。将您的文件组设置为adm

sudo chgrp adm /var/log/*.log
于 2017-08-07T12:08:28.797 回答
0

进入您的 logstash 输入以获取 filebeat 并评论 tls 部分!

于 2016-01-27T16:15:38.303 回答