问题标签 [filebeat]

无论我做什么，我似乎都无法将 filebeat 转发日志作为 deb 服务（/etc/init.d/logstash 启动）。当我在终端中运行指向配置文件的 logstash 可执行文件时，此连接似乎有效。我的配置或对如何将logstash作为独立服务运行的理解必须稍有偏差。

环境

2 AWS 托管的 ubuntu 服务器，没有安全组和/nacls 阻止连接

Filebeats 安装在我的应用服务器上

• filebeat.yml 通过 configtest
• filebeat 保持作为服务运行

Logstash 作为 deb 安装在主服务器上

• logstash.conf 通过配置测试并保存在 /etc/logstash/conf.d
• Elasticsearch 在 logstash.conf 中被注释掉了
• logstash 作为服务运行
• logstash.conf 权限-> -rw-rw-rw-logstash logstash logconsolidated.log
• 目前没有使用 cert/ssl/tls 密钥/加密

文件节拍配置

Logstash.conf

我已经为filebeat的特定日志文件完成了这样的配置- 文件具有 cp1250 编码：

我做了这样的输出配置：

logstash 输出上的filebeat编码是什么？

我认为它可以像这样工作，但我认为它现在是这样工作的：

filebeat 输出编码到底是什么？

我什么时候应该使用 filebeat 、 packetbeat 或 topbeat ？

我是麋鹿栈的新手。我可能听起来很傻，但我真的对这些感到困惑。我将不胜感激任何形式的帮助。

我在 logstash 中使用文件作为日志的输入。我的日志文件每天轮换，所以我想问一下我们如何配置logstash的文件插件，以便它与每天轮换的文件一起工作。除此之外，文件节拍也可以使用日志轮换。

我一直在尝试在 Solaris - SunOS 上运行 FileBeat。我成功地在它上面运行了logstash和elasticsearch。但是，由于 FileBeat 提供了一个可执行文件而不是 shell 脚本来运行，因此产生了问题。

你们中的任何人都可以帮助如何进行此操作。

我正在使用 Filebeat 在 Windows 中解析 XML 文件，并将它们发送到 Logstash 进行过滤并发送到 Elasticsearch。

Filebeat 工作运行良好，我正在将 XML 块放入 Logstash，但看起来我错误地配置了 Logstash 过滤器以将 XML 块解析为单独的字段并将这些字段封装到 Elasticsearch 类型中。

这是我的 XML 示例数据：

这是我的logstash配置文件：

文件节拍配置：

这是标准输出和文件输出的一部分：

通过 filebeat 接收时，我无法从我的 json 日志行中解码消息字段。

这是我日志中的一行：

这里是logstash配置。我试过有和没有codec. 唯一的区别是当我使用编解码器时消息被转义了。

这是到达elasticsearch的json：

我想要的是message对象的内容被解码。

非常感谢

我正在将 ELK 与 kibana 一起使用。

我还使用 filebeat 将数据发送到 Logstash。

我创建的看起来像这样

我想知道，就像 beat 有 2 个字段，如主机名和名称。是否可以添加更多字段 environment: dev，例如我可以在 kibana 中看到的字段，以便我可以根据该字段过滤消息

我们希望在我们公司的所有产品团队中建立一个通用的日志接口。我们为此选择了 ELK，我想要一些关于设置的建议：

一种方法是设置集中式 ELK，所有团队都可以使用某种日志转发器，例如 FileBeat 将日志发送到公共 logstash。我觉得这个问题是：如果团队想在日志上使用过滤器来分析日志消息，他们需要访问通用 ELK 机器来添加过滤器，因为 Beats 不支持 groking 或任何其他过滤。

第二种方法是每个团队有不同的 logstash 服务器，所有这些都将指向通用的 Elastic Search 服务器。这样团队就可以自由修改/添加 grok 过滤器。

如果我遗漏了什么或者我理解有误，请赐教。欢迎其他想法。

因为我删除了所有索引，所以我面临这个问题。为此，我执行了以下命令

文件节拍.yml

和 logstash 配置文件输入配置

并输出配置

问题是日志不是通过 logstash 来的，这些是直接来的，因为我看不到在 kibana 中添加的新字段，并且在 apche-access 日志的情况下，只有日志作为类型的值。