问题标签 [filebeat]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
elasticsearch - Elastic Topbeats 是否显示流程参数
弹性(Elasticsearch) Topbeat 看起来很有趣。但是,如果我有一个主机有几个进程都是相同的二进制文件,即。java、python 等。它们只能通过查看后续命令行参数来识别。
我刚刚开始部署它。但是我在“长”形式的进程列表的配置定义选项中找不到。
elasticsearch - 在 Linux 中配置 Logstash 时出错(仍可运行)
我在配置 Logstash 时遇到了一些问题。
我已经使用 filebeats 来转发日志,并且第一次运行良好。但是当我关闭并重新启动终端来配置logstash和filebeats时。即使 Kibana UI 显示日志文件仍在发送和读取,也会出现错误:
这是配置文件
我不知道是怎么回事。谁能告诉我。谢谢
elasticsearch - 生成 filebeat 自定义字段
我有一个弹性搜索集群(ELK)和一些使用filebeat将日志发送到logstash的节点。我环境中的所有服务器都是 CentOS 6.5。
每个服务器中的 filebeat.yml 文件由 Puppet 模块强制执行(我的生产服务器和测试服务器都具有相同的配置)。
我想在每个文档中都有一个字段来说明它是否来自生产/测试服务器。
我想在每个文档中生成一个动态自定义字段,该字段使用 filebeat.yml 文件指示环境(生产/测试)。
为了解决这个问题,我想运行一个返回环境的命令(可以通过事实了解环境)并将其添加到 filebeat.yml 文件中的“环境”自定义字段下,但我找不到任何这样做的方式。
是否可以通过 filebeat.yml 运行命令?还有其他方法可以实现我的目标吗?
logstash - 无法使用解析的字段来可视化 kibana 上的数据
我是这个 ELK 的新手。我一直在尝试使用此堆栈创建可视化,但我无法使用verb、response、request等字段,我只能选择几个可用字段:
但是,在“发现”部分,我完全能够处理这些领域。这是我的一个查询结果的示例:
(我使用的是 Kibana 4.4.2,filebeat 转发到 logstash 2.2.3)
这可能有什么问题?
这是我的配置文件:
提前致谢!
elasticsearch - filebeat 如何检查文件中的新内容?
filebeat 是否使用 tail -f 检查文件中的新内容,然后将其刷新到所需的输出?或者有没有其他方法检查文件中的新内容?
json - NGINX 日志过滤器 $upstream_response_time JSON ELK "-" parsefailure
我的 NGINX 日志格式为 JSON:
我的日志被 filebeat 拾取并发送到具有以下配置的 Logstash:
我遇到的问题是 $upstream_response_time。当没有响应时间时,NGINX 会在此帖子上放置一个“-”。如您所见,我没有将“”放在 $upstream_response_time 周围,因为我希望它是一个数字,因此我可以在 Kibana 中使用它执行计算并显示。当发送“-”时,我在 Logstash 中得到一个 jsonparsefailure,因为它不是一个数字。
我想将所有“-”设置为 0。最好的方法是什么?我尝试在 nginx-config 中过滤它没有成功。我认为它需要在运送到 Logstash 之前完成,因为那是 parsefailure 发生的地方。
有任何想法吗?
elasticsearch - Filebeat > 是否可以在没有 Logstash 的情况下通过 Filebeat 向 Elasticsearch 发送数据
我是ELK的新手。我首先安装了没有 Logstash 的 Elasticsearch 和 Filebeat,我想将数据从 Filebeat 发送到 Elasticsearch。在我安装了 Filebeat 并配置了日志文件和 Elasticsearch 主机之后,我启动了 Filebeat,但是即使日志文件中有很多行,Filebeats 也没有任何反应。
那么是否可以完全不使用 Logstash 将日志数据直接转发到 Elasticsearch 主机?我
elasticsearch - 为什么重新安装 Filebeat 知道以前的日志已经加载到 Elasticsearch
我之前使用Filebeat通过logstash将日志数据加载到Elasticsearch,然后我想再试一次。于是我重新安装了Filebeat并清空了Elasticsearch数据,然后尝试通过Filebeat重新加载日志数据到Elasticsearch。但是 Filebeat 已经知道数据已经加载了一次,即使 Elasticsearch 数据存储被清空了。Filebeat 如何知道日志数据之前已加载?如果我想再次加载所有日志数据,我该怎么办?
elasticsearch - Elasticsearch > 是否可以在 FIELDS 的基础上构建索引
在ELK(Elasticsearch、Logstash、Kibana)的上下文中,了解到Logstash有FILTER可以利用grok将日志消息划分到不同的字段。根据我的理解,它只会帮助将非结构化的日志数据变成更结构化的数据。但我不知道 Elasticsearch 如何利用字段(由 grok 完成)来提高查询性能?是否可以像传统关系数据库那样在字段的基础上建立索引?
elasticsearch - Filebeat with ELK > 如何有效地为每个日志文件构建索引
我打算利用 Filebeat(s) 通过 Logstash 将日志文件从每个节点的预定目录复制到一个通用的 Elasticsearch 数据库中。例如,在源目录中有10 个具有相同日志格式的日志文件,并且它们每天都在高速增长。
尽管这 10 个日志文件具有相同的日志格式,但它们是由 10 个不同的程序生成的。因此,从长远来看,为每个日志文件构建一个索引可能是明智的,即10 个索引,每个索引对应一个日志文件。首先,我想知道这是一个合适的计划吗?或者所有日志数据只有一个索引就足够了,因为索引是每天生成的?
如果为每个日志文件建立一个索引是明智的,那么如何实现这个目标?filebeat.yml 似乎只允许定义一个索引,因此不可能使用一个 Filebeat 生成多个索引。有什么好的解决方案吗?