Когда я открываю интерфейс Kibana, я получаю сообщение об ошибке при настройке индекса, когда logstash- * вводится как запрос:
ошибка кибаны: укажите шаблон индекса по умолчанию
Как я могу узнать, отправляет ли filebeat логи в logstash? Я точно следил за учебниками по filebeat и ELK stack. Я вижу данные, когда вхожу в filebeat- * в Kibana, но ничего не вижу, когда я вхожу в logstash- * в Kibana.
Если вы следовали официальное руководство по началу работы с Filebeat и перенаправляют данные из Filebeat -> Logstash -> Elasticearch, тогда данные, созданные Filebeat, должны содержаться в filebeat-YYYY.MM.dd индекс. Он использует filebeat-* индекс вместо logstash-* index, чтобы он мог использовать свой собственный шаблон индекса и иметь исключительный контроль над данными в этом индексе.
Итак, в Kibana вы должны настроить шаблон индексации на основе времени на основе filebeat-* индексный шаблон вместо logstash-*. В качестве альтернативы вы можете запустить import_dashboards сценарий, поставляемый с Filebeat, и он установит шаблон индекса в Kibana для вас. Путь к import_dashboards сценарий может отличаться в зависимости от того, как вы установили Filebeat. Это для Linux при установке через RPM или deb.
/usr/share/filebeat/scripts/import_dashboards -es http://localhost:9200
Вы можете проверить, содержатся ли данные в filebeat-YYYY.MM.dd index в Elasticsearch с помощью команды curl, которая выводит количество событий.
curl http://localhost:9200/filebeat-*/_count?pretty
И вы можете проверить журналы Filebeat на наличие ошибок, если у вас нет событий в Elasticsearch. Журналы находятся по адресу /var/log/filebeat/filebeat по умолчанию в Linux. Вы можете повысить уровень детализации, установив logging.level: debug в вашем файле конфигурации.
Filebeat хранит информацию о том, что было отправлено в logstash. Отметьте ~ / .filebeat (для пользователя, который запускает filebeat).
Вы также можете запустить отладку в filebeat, который покажет вам, когда информация отправляется в logstash.
РЕДАКТИРОВАТЬ: на основе новой информации обратите внимание, что вам нужно указать filebeat, какие индексы он должен использовать. Перейдите на вкладку «Настройки» и настройте там шаблон индекса. Вот документ.
Если Filebeat установлен с использованием пакетов RPM или DEB:
Журналы по умолчанию хранятся в journald. Для просмотра журналов используйте journalctl:
journalctl -u filebeat.service
Более подробная информация доступна на сайте Журналы Filebeat