logstash 從兩個索引上的 filebeat 寫入日志
[英]logstash write log from filebeat on two indexes
我在服務器上安裝了 elk 堆棧,在另一台服務器上安裝了 filebeat 以在 filebeats-[data] 索引上發送 syslog,它工作正常。 現在,在 elk 服務器上,我在 logstash 中配置了另一個輸入,以在 json_data 索引上發送一個 json 文件,它工作正常,但 ...
根據 filebeat 配置中聲明的字段源進行 Logstash 過濾
[英]Logstash filter according to fields source declare in filebeat config
我想使用字段源和在 filebeat 輸入中聲明的字段分離日志文件,因為從 kibana 端,日志的源是訪問/錯誤,但是,logstash 不會將日志傳遞給彈性搜索,我想知道這是聲明來源的正確方法嗎? 我嘗試在輸入部分使用絕對,它就像一個魅力,所以我認為問題出在輸入 filebeat 或 logs ...
我們可以使用 filebeat 將數據發送到 wazuh-indexer 而無需在 Wazuh 中使用代理嗎?
[英]Can we send data to wazuh-indexer using filebeat and without agent in Wazuh?
我正在嘗試將數據從 filebeat 直接發送到 wazuh-indexer,但我在 filebeat 和 elasticsearch 之間收到連接錯誤。以下是我的 filebeat 配置: 以下是錯誤: 誰能告訴我我在做什么錯誤? ...
Filebeat + Haproxy + TCP + 提供的 Grok 表達式與字段值不匹配
[英]Filebeat + Haproxy + TCP + Provided Grok expressions do not match field value
我正在使用 Filebeat 到 stream,Haproxy 記錄到 Elasticsearch。 我的 Haproxy 配置如下: Filebeat haproxy模塊配置如下: 示例日志條目如下所示。 Kibana 中的日志條目如下所示。{ "_index": "scm-logs-20 ...
如何處理多行數據filebeat並跳過第一行?
[英]How to process multiline data filebeat and skip the first line?
我是 ELK 的新手,我可以發送文件中的所有數據,但如何跳過第一行? 是否也可以將每 4 組線一起多線發送? ...
攝取管道不保留日期類型字段
[英]ingest pipeline not preserving the date type field
這是我的 JSON 數據,我試圖從 filebeat 發送到 opensearch 中的攝取管道“logpipeline.json”。 json 數據 Filebeat 到 Opensearch 日志傳送 我正在通過進行完美運行的類型轉換,在攝取管道中對某些字段執行“數據”字段轉換。 但我面臨的 ...
將第一條日志推送到 Opensearch 后不久,Filebeat 突然超時
[英]Filebeat suddenly timing out shortly after pushing first logs to Opensearch
我在 linux 盒子上運行 filebeat 7.10.2,並通過 systemctl 服務將日志推送到 AWS Opensearch。 最近該服務開始失敗並出現以下錯誤: '無法發布事件:....net/http:請求已取消(等待標頭時超出 Client.Timeout)' 當我重新啟動 fi ...
Elasticsearch/Kibana 顯示錯誤的時間戳
[英]Elasticsearch/Kibana shows the wrong timestamp
我用filebeat傳輸日志文件到elasticsearch。數據用kibana分析。 現在我的問題是:Kibana 不顯示日志文件中的時間戳。 Kibana 在@timestamp 中顯示傳輸時間。 我想在 kibana 中顯示日志文件中的時間戳。 但是日志文件中的時間戳被覆蓋了。 我的錯在哪里 ...
logstash可以對filebeat過來的數據進行統計分析嗎?
[英]Can logstash perform statistical analysis on the data coming from filebeat?
OK,我的問題是是否可以使用logstash對收集到的日志數據進行統計分析。現在我已經使用filebeat將nginx條日志收集到es集群中,並在這些日志上打上了需要的標簽。我打算閱讀這些日志從es集群上寫個程序統計這些日志,比如某段時間某區域的流量。現在想知道filebeat采集的日志能不能傳 ...
Filebeat Kafka 客戶端與 AWS MSK 的 SSL 握手失敗
[英]Filebeat Kafka client failing SSL handshake with AWS MSK
我們正在嘗試使用可用的 kafka 配置將使用 Filebeat 的日志發送到 AWS MSK(已配置)。 我們將 mTLS 身份驗證與 Root CA 和帶 Vault 的中間 CA 的設置一起使用。 中間 CA 在 AWS PCA 中可用,它被分配給 AWS MSK 集群,后者又將證書頒發給 A ...
使用模板和自定義名稱的 Filebeat 設置 ILM
[英]Filebeat setup ILM with template and custom name
在7.17.0版中使用 ES 工具鏈我想使用自定義名稱設置 ILM + index_template。 但是從文檔 好像不太可能。 現在的問題: 啟用 ILM 時可以設置自定義模板名稱(使用自定義設置)嗎? 可以在 filebeat 中運行兩個安裝文件嗎? (例如filebeat setup - ...
Filebeat 日志中的錯誤 - 無法在 kibana 中查看數據
[英]Error in Filebeat logs - not able to view data in kibana
最近升級到 7.17.7 filebeat。 使用elasticsearch,kibana和filebeat,都是7.17.7。 但是,我無法在 kibana 中看到日志,因為 filebeat 沒有將日志發送到 elasticsearch 和 kibana。 在 filebeat 中看到錯誤 - ...
FileBeat 多行正則表達式
[英]FileBeat Multiline Regular Expression
我有一個如下所示的日志模式,為此我試圖創建一個匹配(整個模式)的正則表達式。這些行之間有雙倍間距。我如何編寫一個捕獲雙倍間距的正則表達式 下面的配置不起作用。 任何幫助表示贊賞。 ...
使用 TLS(連接重置)將 filebeat 配置為 graylog
[英]Configuring filebeat to graylog with TLS (connection reset)
我已經成功地創建了一個 graylog 服務器(在 docker 容器中),它從另一台機器上的 filebeat 獲取日志。 但是,我當然希望對消息進行加密。 我正在嘗試設置它,但是我似乎無法讓 graylog 接受連接,而是它總是被對等方重置: (如果沒有 tls,連接會按預期工作,每次將一個 ...
發布事件失敗:臨時批量發送失敗
[英]failed to publish events: temporary bulk send failure
當我嘗試在 filebeat.yml 和 output 到 elasticsearch 中創建多個索引時,出現臨時批量發送失敗錯誤。 這只有在我將 ilm 引入為禁用時才會出現。 誰能幫忙下面是filebeat配置 ...
如果日志存儲在主機中,為什么我應該在 eks 上使用 Filebeat 作為 daemonset?
[英]Why should I use Filebeat as daemonset on eks if logs are stored in host?
我在 web 上找到的幾乎所有參考資料都說 filebeat 應該用作 k8 中的 daemonset 或 sidecar。 我在我的集群中觀察到 Eks pod 日志已經保存在主機目錄 (/var/log/container) 下,那么為什么我不應該使用 Filebeat 作為主機上的正常進程並 ...
如何將指定路徑的自定義日志發送到docker內部運行的filebeat
[英]How to send custom logs in a specified path to filebeat running inside docker
我是 filebeat 和麋鹿的新手。 我正在嘗試使用 filebeat 將自定義日志直接發送到彈性搜索。elk 堆棧和 filebeat 都在 docker 容器內運行。自定義日志位於文件夾 home/username/docker/hello.log 中。 這是我的 filebeat.yml ...
我如何告訴 Filebeat 使用特定的 NIC 將收集的日志發送到 Logstash?
[英]How do I tell Filebeat to use a specific NIC to send out harvested logs to Logstash?
我們在每台運行 RedHat Linux 的機器上都有三個網絡接口卡 (NIC)。我希望 Filebeat 使用特定的 NIC/IP 將數據發送到 Logstash。 我在 Filebeat 配置文件中找不到與此相關的任何內容。 它會在某個地方的 RedHat 中設置嗎? ...
彈性存儲索引如何
[英]how elastic store indexes
彈性指數越來越大,有時指數會變小。 索引小的日子沒有機器停機; 一切都和索引很大的時候一樣。 我注意到 elasticsearch 仍將幾天前的文檔存儲在索引中。 是否有可能是前幾天彈性起球在今天? 彈性如何將文檔存儲在索引上? 我們不得不減少索引存儲的天數,因為有些時候一個索引的大小是另一個索引的 ...
訪問 logstash 配置文件中字段的正確方法是什么?
[英]What is a correct way to access fields in logstash configuration file?
我有很多服務(平台),部署在 kube.netes 或虛擬機上。 Filebeats 將每個服務的日志發送到 logstash。 我必須為來自 k8s 和 vm [log_source] 的日志設置不同的索引,但索引還必須包含服務名稱 [log_type]。 我只有 [log_type] 的配置 ...