问题标签 [filebeat]

我是 ELK Stack 的新手。我正在尝试使用 Windows (ELK Server) 和 Vagrant Unix CentOS VM (Filebeat Shipper) 来实现它

对于初学者，我正在尝试将 Unix Syslog 发送到 ELK 服务器，看看它是如何工作的

我已将 Windows 机器上的 Logstash 的 central.conf 文件配置为

Unix（CentOS - 7）上的 Filebeat YAML 配置为

Elasticsearch 和 Logstash 在我的 Windows 机器上正常运行

我现在面临以下两个问题，

1.当我尝试在 Unix 上运行 filebeat shipper 时，它给了我以下错误

2. 当我看到 Logstash 日志时，我发现它试图在“0.0.0.0:5044”而不是“127.0.0.1:5044”上监听 Beats 输入

这两个问题是否相互关联，我该如何解决它们，有人可以帮助我并指出正确的方向以使其正常工作。

真的很感激你能提供的任何帮助。

我尝试使用 2 个不同的 logstash 索引器服务器进行负载平衡，但是当我向我的日志添加 1000 行时，filebeats 仅将日志发送到一台服务器（我启用了 stdout 并且可以直观地检查输出也可以查看哪个 logstash 服务器正在接收日志事件)

我的文件节拍配置：

是否会增加对在 filebeats 上禁用持久 TCP 连接的支持？我目前无法使用 AWS ELB，因为由于粘性连接，它总是发送到一个 logstash 服务器，直到它被重置。这不是适合它的架构吗？我应该改为发送到 redis 队列吗？在 filebeats 中，我不知道也找不到任何文档如何发送到 redis 队列？

像这样的东西不起作用，我什至找不到调试它的方法，因为 filebeats 没有留下日志

• 版本：在 Windows 服务器上：FileBeat（Windows - filebeat 版本 1.2.2 (386)） 在 logstash 索引器服务器上：logstash 2.3.2

• 操作系统：Windows 服务器：Microsoft Windows NT 6.0.6002 Service Pack 2 Logstash 索引器服务器：RHEL Linux 4.1.13-19.30.amzn1.x86_64

我目前拥有使用 filebeat 作为日志传送器的架构，它将日志发送到日志存储索引器实例，然后发送到 AWS 中的托管弹性搜索。由于持久的 TCP 连接，我无法使用 AWS ELB 多个日志存储索引器实例进行负载平衡，因为 filebeats 总是选择实例并将其发送到那里。所以我决定使用redis。现在看到在 ELK 堆栈中扩展 redis 并使其成为高可用性组件是多么困难，我想问一下 redis 的意义何在。我读了一百万次它充当缓冲区，但是如果 logstash 无法处理负载，filebeats 停止向 logstash 发送日志，为什么我们甚至需要缓冲区。Filebeat 足够聪明，知道停止发送日志。如果弹性搜索失败，Logstash 足够聪明，可以停止将日志发送到弹性搜索。所以管道停止了。我真的不

我已经按照 elastic.co 的描述配置了 filebeat

问题是当我添加一个新的日志文件时，数据没有上传到logstash。可能是什么问题？我已经尝试了不同的配置方式，但它根本不起作用。

在 logstash.conf 中配置：

我如何以编程方式创建一个类似 Shipper 的 Filebeat，它将我的日志从客户端服务器发送到远程 Logstash 服务器。

我是 ELK 和 log4j 的新手，我正在尝试创建 Daemonize java 程序或 shell 脚本，它将继续逐行读取我的日志文件，并将所有行（和任何新行）发送到定义的 logstash 服务器。

我可以逐行读取文件，但它会在到达 EOF 时立即关闭。

此外，我想让它成为守护进程，它将继续监视日志文件，并将每一行通过 TCP 发送到 Logstash。

有人可以指导我正确的方向吗？

我在运行 ELK 堆栈和其他一些杂项的本地集群上设置了 dockerbeats。码头工人（所有通过 kubernetes 控制的容器）。我从 Ingensi ( Ingensi dockerbeat Dashboard ) 为 kibana设置了仪表板，并在设置图表时遇到了 containerNames 字段的问题。现在，就上下文而言，我的 docker 容器具有如下名称：

（以及具有相似容器名称的 kubernetes 支持容器）[2]：http : //i.stack.imgur.com/hvIUG.png k8s_POD.6d00e006_dockerbeats-796n9_default_472faa11-1b3a-11e6-8bf4-28924a2bffbf_3ddcfe44

当我在 kibana 中设置仪表板时，我遇到了一个问题，即我从同一个容器中获取了多个容器名称。例如，我将 containerName 拆分为更小的部分，而不是单个 containerName 输出：

等等...

我假设容器名称的格式会混淆仪表板（可能是它解析名称信息的方式），我可能会四处将每个容器重命名为更合理的名称。

但在我这样做之前，有没有办法以我读取整个容器名称字符串的方式配置仪表板，这样它就不会像第一个图像中那样分解？（假设我必须从上面提到的存储库中挖掘 .json 文件）

如果有人回答这个问题，请提前感谢。

我是 ELK 堆栈的新手。我正在尝试设置 FileBeat --> Logstash --> ElasticSearch --> Kibana。在这里尝试将 FileBeat 输出发送到 Logstash 输入时，我在 Logstash 端遇到以下错误：

我正在使用带有 FileBeat 的 Logstash 2.3.2 版本：1.2.2，elasticsearch：2.2.1 我的 logstash 配置：

我的文件节拍配置：

我的用例是将日志文件从各种应用程序发送到 Elasticsearch，以便我可以从 Kibana 中查看它们。

我想知道 Filebeat 是否可以配置为 grok 表达式，以便应用程序团队可以在他们的末端管理他们的日志解析并且中央日志系统/部署不受影响？如果可以，那么对 Logstash 的需求是值得怀疑的。我可以看到 Filebeat 支持多行表达式，但是我可以通过解析消息来定义其他 grok 表达式并添加/删除字段吗？

我正在使用 filebeat 配置 ELK 堆栈服务器，它监视日志文件并发送到日志存储。是否可以在 filbeat 或日志存储级别配置警报机制，以便在不再写入被监控的日志时收到警报。

我们的服务器托管在 Solaris(OS) 中，但我们无法安装 Filebeat 以将日志转发到所需的端口，因为 Solaris 不支持 Filebeat。有人可以在这里提出任何解决此问题的方法。请注意，我们被告知不要在服务器托管机器中安装 Logstash。

您的建议备受期待。请只做那些需要的。