设置ELK堆栈

Question

我是ELK的新手，正在尝试为我们的服务器安装一些插件。

Elasticsearch，Kibana和Logstash均已安装（在服务器A上）。 我在这里https://www.elastic.co/guide/zh-CN/elastic-stack/current/installing-elastic-stack.html遵循了该指南。

Filebeat模板也已安装。

我还在另一台服务器（服务器B）上安装了文件拍子，并试图测试连接

$ /usr/share/filebeat/bin/filebeat test output -c 
/etc/filebeat/filebeat.yml -path.home /usr/share/filebeat - 
path.config /etc/filebeat -path.data /var/lib/filebeat -path.logs 
/var/log/filebeat
logstash: my-own-domain:5044...
  connection...
    parse host... OK
    dns lookup... OK
    addresses: 163.172.167.147
    dial up... OK
  TLS...
    security: server's certificate chain verification is enabled
    handshake... OK
    TLS version: TLSv1.2
    dial up... OK
  talk to server... OK

事情似乎还可以，但是服务器B上filebeat的数据似乎没有向logstash发送数据。

访问Kibana时，不断将我重定向回创建索引模式，并显示以下消息

Couldn't find any Elasticsearch data

任何方向指向将不胜感激。

Answer 1

您可以检查filebeat.yml文件并查看是否激活了日志配置：

filebeat.prospectors:
- type: log
  enabled: true
  paths:
    - /var/log/*.log