[问题已处理]-filebeat采集日志没有在kibana展示

最新推荐文章于 2024-05-14 06:41:25 发布
最新推荐文章于 2024-05-14 06:41:25 发布
阅读量2.9k 收藏 2
点赞数
分类专栏: 问题已处理 文章标签: elasticsearch 搜索引擎 big data
仅供学习参考 转载请标明出处。个人笔记为自己记录 如果对大家有帮助那也挺好 写的马虎 如果有不对的地方谢谢指正 各位大佬别喷哦
本文链接:https://blog.csdn.net/xujiamin0022016/article/details/121741478
版权

导语:以前测试环境使用的es是老版本。不能设置生命周期,需要定时执行脚本删除索引。升级了es kibana filebeat3个最新版本7.14.1之后 发现日志没搜集到es,没展示在kibana中。

排查filebeat7.14.1日志

日志获取到了变更,并且连接到了es成功。

但是kibana没有对应的日志。

这边怀疑是升级版本的缘故。

更换成老版本的filebeat6.0.0,可以获取日志变更,并且连接到了es成功。日志采集成功。

这边判断是filebeat的问题。继续排查。使用7.14.1的filebeat和7.14.1的新的es。这边更换一个索引名称测试,发现新的索引名称无法在es中创建,但是手动创建索引是没问题的。

查询资料发现有个参数需要调整

新版本提示开启了ILM策略

翻官方文档(https://www.elastic.co/guide/en/beats/filebeat/current/elasticsearch-output.html)后发现:
index配置部分中提示 The index setting is ignored when index lifecycle management is enabled
意思就是index设置的参数在索引生命周期管理(ilm)开启后会忽略。

查看ilm文档 https://www.elastic.co/guide/en/beats/filebeat/current/ilm.html 提示:
Starting with version 7.0, Filebeat uses index lifecycle management by default when it connects to a cluster that supports lifecycle management
从7.0版本开始,当elasticsearch支持生命周期管理时,filebeat默认使用索引生命周期管理,这样就导致自己修改的日志文件名无效了。

关闭ilm功能即可(setup.ilm.enabled: false)。默认是auto,新版本filebeat无法创建索引。

调整成false之后就可以创建索引采集日志成功了。

爷来辣
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
elk采集服务日志数据
03-23
springboot日志通过filebeat,logstash将日志内容采集到es中,kibana展示日志数据
ELK日志收集系统.docx
01-16
1、文档详细介绍了下面三种日志架构的优缺点 Elasticsearch + Logstash + Kibana Elasticsearch + Logstash + filebeat + Kibana Elasticsearch + Logstash + filebeat + redis(也可以是其他中间件,比如kafka) + Kibana 2、生产上建议使用 建议采用 filebeat + kafka + Logstash+Elasticsearch+Kibana的架构。接上所述,随着数据量的加大或者系统采集的数据信息存在洪峰的情况,就存在数据丢失、系统崩溃不可用的情况。而采用此架构kafka能做数据的缓冲,给logstash平滑处理日志的时间,如果日志量继续加大,kafka也达到了最大处理量,此时filebeat就算不能发送出去日志信息,但是日志信息也不会丢失,等到后端压力减少后正常效率工作,任然能够收集到所有日志。 对于ES中的日志信息处理可以定期转存或者丢弃。如果由于数据量过大导致未到规定时间就已占满磁盘的情况,可以通用磁盘空间预警来防止,磁盘占满导致系统不可用的情况。 对于收集的日志信息如果能提前在系统应用日志层面做优化处理(比如json格式化,日志分类)也可以大大提升ELK系统的吞吐能力。减少logstash日志过滤的压力。
ELK (一)部署ELK+Filebeat日志收集分析系统
喜欢历史的码农
12-15 7103
说明:此安装流程只适用于8.0.0以下的版本。
Filebeat 收集日志的那些事儿
weixin_48726650的博客
06-27 1868
1 前言 开源日志收集组件众多,之所以选择Filebeat,主要基于以下几点: 功能上能满足我们的需求:收集磁盘日志文件,发送到Kafka集群;支持多行收集和自定义字段等; 性能上相比运行于jvm上的logstash和flume优势明显; Filebeat基于golang 技术栈,二次开发对于我们来说有一定的技术积累; 部署方便,没有第三方依赖; 2 Filebeat 能做什么 简单来说Filebeat就是数据的搬运工,只不过除了搬运还可以对数据作一些深加工,为业务增加一些附加值。
【ELK日志采集】filebeat日志采集及错误Provided Grok expressions do not match field value解决
open
03-01 2555
ELK日志入库失败问题解决
filebeat收集不上k8s日志排查小记
zss_89的专栏
12-30 2713
背景: 在一个k8s集群上,以daemonset的方式部署的filebeat,收集k8s各节点运行容器的日志。发现其中有一个宿主机节点的日志无法被收集上来,其他节点日志收集正常。 排查: 1. Filebeat运行的POD状态为Running状态。 2. 查看该filebeat运行日志,无异常信息。 3. 登录该异常的宿主机节点,进入filebeat配置文件配置的收集容器日志的目录,存在日志文件。 似乎看起来都正常。 再仔细看filebeat运行日志,在harvester相关的日志条目中,没有
Kinana无法获取最新的日志
兰星_thk&try的博客
12-07 334
文章目录1 问题2 原因3 暂时的解决方式 1 问题 每次进入kibana页面,都看不到最新的日志,甚至说,不是当前应用的日志 其他同事都看得到 2 原因 我是通过收藏的地址进入的, 收藏的地址,主要是为了discover应用与搜索关键字 希望看启动报错,我清空了搜索栏,但一直拿不到新的日志,我看不到启动报错,但其他同事已经贴给我了_. 3 暂时的解决方式 通过open重新选择应用,这样至少拿到了最新的日志 ...
使用filebeat抓取文件并传送到logstash 没反应
u011196295的博客
12-19 1282
水水水水水水水水水水水水水
elk-filebeat收集docker日志
嘿嘿嘿
11-19 2402
文章目录使用docker搭建elkfilebeat安装与配置docker容器设置参考文章首发地址 使用docker搭建elk 1、使用docker-compose文件构建elk。文件如下: version: '3' services: elk: image: sebp/elk:640 ports: - "5601:5601" - "9200:9200" ...
在elasticsearch中有数据,但是kibana未显示的问题
休对故人思故国,且将新火试新茶。诗酒趁年华
08-22 3868
如上图所示,在elasticsearch中有数据,但是在kibana数据不能正常展示,解决方案:在kibana的右上角
Filebeat 采集 Nginx 日志的方法
01-08
涉及到 Elastic Stack 中 Filebeat 是用于采集 Nginx 相关的日志, Elasticsearch 是用于对于数据落地存储和搜索的引擎, Kibana 是用于对数据可视化的工具。 在 Nginx 中相关的日志是存储在 /var/log/nginx 目录下...
IELK-rpm安装包,filebeat、logstash、elasticsearch、kibana四部分rpm安装包
07-27
IT运维监控,ELK日志审计分析系统,elk四部分rpm安装包 ...数据可视化二次处理kibana-8.1.2-x86_64.rpm ELK优势: 1 处理方式灵活 2 配置相对简单 3 检索性能高效 4 集群线性扩展 5 前端操作绚丽
filebeat-7.4.2-linux-x86_64.tar.gz
11-13
之所以能实现这一点,是因为它将自动默认路径(因操作系统而异)与 Elasticsearch 采集节点管道的定义和 Kibana 仪表板组合在一起。不仅如此,数个 Filebeat 模块还包括预配置的 Machine Learning 任务
Filebeat常见问题-译
wxd5617的博客
12-17 1513
在配置的输出被阻止的情况下 (例如,Elasticsearch或Logstash不可用)长时间,这可能会导致 Filebeat 用于将文件处理程序保留为从文件系统中删除的文件 与此同时。在涉及文件轮换的用例中,如果删除旧文件并立即创建新文件,则新文件可能与已删除的文件具有完全相同的索引节点。在这种情况下,Filebeat 假定新文件与旧文件相同,并尝试在旧位置继续读取,这是不正确的。在 Windows 上,您可能在重命名或删除文件时遇到问题,因为 Filebeat 使文件处理程序保持打开状态。
使用Filebeat采集json日志未能成功解析的问题以及其他踩过的坑
热门推荐
yk20091201的专栏
06-03 1万+
使用Filebeat采集JSON格式日志入库到Elasticsearch中,Mark一下第一次配置时踩过的坑。 第1坑:每行日志被整个入到了ES索引中的一个message字段,而不是按照json解析后的字段入库 解决方案:这个问题的原因是因为json日志中只要有filebeat无法解析的格式,就会把整条记录当做一个字符串处理,入库到一个message字段,我是日志中有Windows...
kibana message 显示日志行不全,被截断
wenyixicodedog的博客
07-13 2019
kibanamessage显示日志行不全,被截断怎么解决: 在kibana的management=>advancesetting里设置truncate:maxHeight为0。
网易基于Filebeat的日志采集服务设计与实践
qianshanding0708的博客
01-23 1111
- 背景 -云原生技术大潮已经来临,技术变革迫在眉睫。在这股技术潮流之中,网易推出了轻舟微服务平台,集成了微服务、Service Mesh、容器云、DevOps等组件,已经广泛应用于公...
Filebeat 日志不输出
逐月
08-26 6511
Config logging [WARNING] When Filebeat is running on a Linux system with systemd, it uses by default the -e command line option, that makes it write all the logging output to stderr so it can be captu...
elasticsearch 动态映射
最新发布
batman
05-14 698
在以上实战中,对应第一种情况,Object对象可以添加新的属性,添加了last字段。举例:string类型匹配为text和keyword两种类型,但实际用户极有可能只期望排序和聚合的keyword类型,或者只需要存储text类型,如网页正文内容只需要全文检索,不需要排序和聚合操作。答:boolean类型、float类型、long类型、Object类型、Array类型、date类型、字符串类型。获取映射发现,create_date是text和keyword组合类型,不是我们期望的date类型。
filebeat flume对比
07-07
### 回答1: Filebeat和Flume是两种常见的日志收集工具。 Filebeat是一种轻量级的日志收集工具,由Elasticsearch公司开发。它的主要功能是监控文件变动,并将变动的日志数据发送给不同的目标,如Elasticsearch、Logstash等。Filebeat可以轻松地安装和配置,适用于小型到中型的环境。它使用了低资源消耗的方式,能够高效地将日志数据收集和发送。 Flume是Apache软件基金会开发的另一种日志收集工具。它是一个可扩展的、分布式的系统,用于采集、聚合和移动大量的日志数据。Flume的核心是Event、Channel和Sink。Event是日志数据的基本单元,Channel是用于存储Event的缓冲区,Sink是用于将Event发送到目标系统的组件。Flume可以与多种数据源和目标集成,并且可以通过拓扑结构进行配置,以满足不同场景的需求。 两者的不同之处主要体现在以下几个方面: 1. 功能和用途:Filebeat主要用于收集、过滤和发送日志数据,适用于小型到中型的环境;而Flume不仅可以用于日志收集,还可以进行数据聚合、转换和分发,适用于大型的分布式环境。 2. 架构和可扩展性:Filebeat是一个轻量级的单节点工具,适用于规模较小的环境,可通过增加更多的Filebeat实例实现扩展;而Flume采用了分布式的架构,可以通过增加Agent和Sink等组件来实现高可用和高性能的日志传输。 3. 社区和生态系统:Filebeat由Elasticsearch公司维护,与其它Elastic产品(如Elasticsearch、Logstash、Kibana)的集成相对简单;而Flume是Apache软件基金会的项目,有大量的社区支持和丰富的生态系统,可以与各种大数据组件进行集成。 综上所述,Filebeat和Flume都是强大的日志收集工具,选择哪个取决于实际需求和环境规模。如果只需要简单的日志收集和传输功能,可以选择Filebeat;而对于复杂的日志处理和大规模的分布式环境,则可以选择Flume。 ### 回答2: Filebeat和Flume都是用于日志收集的工具,但在实现细节和部分功能上有所不同。 1. 架构: - Filebeat: Filebeat是Elasticsearch公司开发的一个轻量级的开源日志收集工具。它可以将日志文件从指定位置读取并发送到Elasticsearch、Logstash等目标系统。 - Flume: Flume是Apache基金会开发的一个分布式的、可靠的和高可用性的数据收集工具。Flume使用Agent和Sink的架构模型,Agent负责从原始数据源收集日志,然后通过Channel存储到Sink进行集中式处理。 2. 部署和配置: - Filebeat: Filebeat提供了轻量级的安装和配置。只需要在目标服务器上安装Filebeat,并通过简单的配置文件指定日志文件路径和目标系统即可。 - Flume: Flume需要在每个Agent和Sink节点上部署,并进行复杂的配置,包括Agent、Channel和Sink的组合配置,以及事件过滤、转换等。 3. 可靠性和可扩展性: - Filebeat: Filebeat具有较低的资源占用和较好的性能,适合在单机上处理日志。但在大规模日志收集和高可用性需求下表现不足。 - Flume: Flume具有高可靠性和可扩展性,可以通过配置多个Agent和Sink进行分布式部署,同时支持数据备份和故障恢复。 4. 功能扩展性: - Filebeat: Filebeat提供了一些基本的功能,如文件追踪、多行日志处理和数据编码等。对于高级功能如事件过滤、转换以及复杂的数据处理,需要结合Logstash等工具一起使用。 - Flume: Flume提供了丰富的功能和插件,包括事件过滤、转换,以及自定义Sink插件等。同时,Flume支持自定义的Channel和拦截器,可以进行更加复杂的数据处理和转发。 综上所述,Filebeat适用于简单的日志收集场景,部署简单且性能较好。而Flume适用于大规模分布式的日志收集和复杂的数据处理场景,功能丰富且具有高可靠性和可扩展性。最终的选择应根据实际需求和系统架构来决定。 ### 回答3: Filebeat是一个轻量级的数据传输工具,用于收集日志文件和指定位置的其他文件,然后将其发送到Elasticsearch或Logstash进行进一步的处理和分析。它是Elastic Stack的一部分,用于实时数据传输和处理。 Flume是一个分布式、可靠且可扩展的日志收集和聚合系统,主要用于大规模日志数据的传输和处理。它支持各种数据源和目标,并提供了强大的过滤和转换功能。 Filebeat和Flume在以下几个方面有所区别: 1. 架构:Filebeat采用轻量级代理方式,通过直接读取文件内容,并将数据发送到目标系统,因此对硬件资源和网络带宽要求较低。而Flume是一个完整的分布式系统,包含多个组件,可以实现高吞吐量和可靠性。 2. 功能特性:Filebeat的主要功能是文件收集和传输,支持多种输入源和目标,具有简化的配置和部署。而Flume功能更加丰富,支持广泛的数据源和目标,并提供了过滤、转换等高级功能,适用于复杂的数据处理需求。 3. 可伸缩性:Flume通过分布式架构和拓扑模型来支持高可伸缩性,可以实现数据的高吞吐量传输和处理。Filebeat的设计更加简单,适用于小规模和中等规模的数据传输。 4. 社区支持:Filebeat是Elastic Stack的一部分,拥有活跃的开源社区,提供了丰富的文档和示例。Flume同样也是一个开源项目,拥有庞大的用户群体和活跃的社区支持。 综上所述,Filebeat和Flume都是用于日志数据传输和处理的工具,但在架构、功能特性、可伸缩性和社区支持等方面有所区别,根据具体的需求和环境选择适合的工具更为重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

爷来辣

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值