目录
一、ELK及ELFK排错思路
1.1filebeat侧排查
第一步:排查filebeat上的配置文件有没有写错,filebeat的配置文件是yml文件,一定要注意格式。
第二步:查看filebeat上能否telnet通logstash上的5044端口,若ping不通则要查看防火墙和filebeat的配置文件是否指向错误,或者在logstash加载filebeat配置文件时即执行 logstash -f logstash.conf时查看弹出的日志中是否有connection fail或者no route等字样,此2个错误表示防火墙或者5044端口与filebeat不通
1.2logstash侧排查
第一步:首先在加载配置文件是查看是否与filebeat成功建立连接,若不成功检查端口5044和防火墙selinux等是否关闭。连接成功截图如下
1.3ES、kibana侧问题
第一步:若kibana侧不能创建索引,则需要在ES上查看是否有对应名称的索引,命令如下
curl -X GET "192.168.246.8:9200/_cat/indices/?v"
#使用时将ip和端口换为自己的ES端口,若索引过多可直接加管道符使用grep过滤名称
第二步:若ES上没有数据,则需要去排查logstash上是否将数据传输过来,若ES上有索引但是kibana创建索引成功后日志显示No results found。
则需要调整一下获取的时间,或者访问一下服务,产生一些日志即可。