X-Pack和loghide-无弹搜索输出-X-Pack&Logstash-Nooutputtoelasticsearch

作者：石某俊 | 来源：互联网 | 2023-05-18 05:00

IhaveaninstallationofX-Pack,Elasticsearch&Logstash.Logstashisalreayreportingtoelas

I have an installation of X-Pack, Elasticsearch & Logstash. Logstash is alreay reporting to elasticsearch for the monitoring part of X-Pack.

我安装了X-Pack、Elasticsearch和loghide。loghidden总是报告给X-Pack的监控部分。

Now I want logstash to pass through any beat that comes to the pipe to elasticsearch.

现在我想让loghide通过任何进入管道的节拍来进行弹索搜索。

I followed this guide here and created the mentioned user & role. I additionally created a role for each beat type that has the mentioned privileges and assigned the roles to the same user, (e.g. one for filebeat-*), using the information from here.

我按照这里的指南创建了上面提到的用户和角色。我还使用这里的信息为每个具有上述特权的拍类型创建了一个角色，并将角色分配给相同的用户(例如filebeat-*)。

My logstash.conflooks the following:

我的logstash。conflooks以下:

input {
  beats {
   port => 5044
  }
}
output {
  elasticsearch {
   hosts => ["http://localhost:9200"]
   index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
   document_type => "%{[@metadata][type]}"
   user => "user"
   password => "pass-word"
 }
  file {
   path => "C:\temp\%{[@metadata][beat]}-%{+YYYY.MM.dd}.log"
 }
}

I am getting files created (e.g. for filebeat) but the indices in elasticsearch are not created and no data appears in elasticsearch.

我正在获取创建的文件(例如filebeat)，但是在弹性搜索中没有创建索引，也没有数据出现在弹性搜索中。

Does anyone see if there is something wrong in the configuration? I am struggling since hours to find an error/solution.

有人看到配置有问题吗?我花了好几个小时才找到一个错误/解决方案。

Publishing beats directly to elasticsearch (without Logstash) using the mentioned user is working (e.g. using metricbeat).

使用上面提到的用户(例如使用metricbeat)直接将beats发布到elasticsearch(没有日志隐藏)。

Also I do not see something strange in the log, simply the output to elastic is missing:

我也没有看到在日志里有什么奇怪的东西，简单的输出到弹性是缺失的:

07:52:53.807 [[main]>worker0] DEBUG logstash.pipeline - filter received {"event"=>{...}}
07:52:53.807 [[main]>worker0] DEBUG logstash.pipeline - filter received {"event"=>{...}}
07:52:53.807 [[main]>worker0] DEBUG logstash.pipeline - output received {"event"=>{...}}
07:52:53.807 [[main]>worker0] DEBUG logstash.pipeline - output received {"event"=>{...}}
07:52:53.870 [[main]>worker0] DEBUG logstash.outputs.file - File, writing event to file. {:filename=>"C:/temp/filebeat-2017.04.11.log"}
07:52:53.870 [[main]>worker0] DEBUG logstash.outputs.file - File, writing event to file. {:filename=>"C:/temp/filebeat-2017.04.11.log"}
07:52:53.870 [[main]>worker0] INFO logstash.outputs.file - Opening file {:path=>"C:/temp/filebeat-2017.04.11.log"}
07:52:53.870 [[main]>worker0] DEBUG logstash.outputs.file - Starting stale files cleanup cycle {:files=>{"C:/temp/filebeat-2017.04.11.log"=>#>}}
07:52:53.870 [[main]>worker0] DEBUG logstash.outputs.file - 0 stale files found {:inactive_files=>{}}

07:52:53.807[[主要]> worker0]调试logstash。管道-过滤器接收到{"事件"=>{…[main]>worker0]调试日志隐藏。管道-过滤器接收到{"事件"=>{…[main]>worker0]调试日志隐藏。管道-接收到的输出{“事件”=>{…[main]>worker0]调试日志隐藏。管道-接收到的输出{“事件”=>{…[main]>worker0]调试日志。输出。文件-文件，写入事件文件。{:文件名= > " C:/ temp / filebeat-2017.04.11。[main]>worker0]调试日志。输出。文件-文件，写入事件到文件。{:文件名= > " C:/ temp / filebeat-2017.04.11。[main]>worker0] INFO logsta .output。文件打开文件{:路径=>"C:/temp/filebeat-2017.04.11。[main]>worker0]调试日志。输出。文件-启动过期文件清理周期{:files=>{"C:/temp/filebeat-2017.04.11。[font - family:宋体;mso - ascii - font - family: tahoma; mso - hansi - font - family: tahoma;文件- 0陈旧文件发现{:inactive_files=>{}

Thank you already!

谢谢你了!

UPDATE:

更新:

If I change the password, I get the following error in the logstash log:

如果我更改了密码，我将在登录日志中得到以下错误:

08:22:33.877 [[main]>worker1] ERROR logstash.outputs.elasticsearch - Got a bad response code from server, but this code is not considered retryable. Request will be dropped {:code=>401, :response_body=>"{\"error\":{\"root_cause\":[{\"type\":\"security_exception\",\"reason\":\"unable to authenticate user [beat] for REST request [/_bulk]\",\"header\":{\"WWW-Authenticate\":\"Basic realm=\\"security\\" charset=\\"UTF-8\\"\"}}],\"type\":\"security_exception\",\"reason\":\"unable to authenticate user [beat] for REST request [/_bulk]\",\"header\":{\"WWW-Authenticate\":\"Basic realm=\\"security\\" charset=\\"UTF-8\\"\"}},\"status\":401}", :request_body=>"{\"index\":{\"_id\":null,\"_index\"

08:22:33.877[[主要]> worker1]logstash.outputs错误。elasticsearch——从服务器上得到错误的响应代码，但是不认为这些代码是可重用的。请求将被删除{:代码= > 401,response_body = > " { \“错误\”:{ \“root_cause \”:[{ \“类型\”:\“security_exception \”,\“原因\”:\“无法验证用户(打)REST请求/ _bulk \”,\“头\”:{ \“WWW-Authenticate \”,\“基本领域= \ \ "安全\ \ " charset = \ \ " utf - 8 \ \“\”} }),\“类型\”:\“security_exception \”,\“原因\”:\“无法验证用户(打)REST请求/ _bulk \”,\“头\”:{ \“WWW-Authenticate \”,\“基本领域= \ \ "安全\ \ " charset = \ \ " utf - 8 \ \“\”} },\“地位\”:401 }”,:request_body = > " { \ "指数\ ":{ \“_id \”:null,\“_index \”

So it seems to be actually communicating with elasticsearch, but the index does not get created. Unfortunately I have no statement in the elasticsearch log.

看起来它实际上是在和弹性搜索通信，但是索引没有被创建。不幸的是，我在弹性搜索日志中没有声明。

1 个解决方案

#1

Found the answer on my own, for those struggling with a similar problem:

找到了我自己的答案，对于那些挣扎于类似问题的人:

I had some weird settings in my elasticsearch.yml regarding action.auto_create_index that prevented the index from being created.

我在弹框搜索中设置了一些奇怪的设置。yml有关行动。阻止索引创建的auto_create_index。

This became visible after changing the log level of elasticsearch to debug the way it was mentioned here.

这在更改了elasticsearch的日志级别以调试这里提到的方式之后变得可见。

As those were not needed I removed them and now everything works as expected.

由于不需要这些，我删除了它们，现在一切正常。

推荐阅读

cookie
HTTP header 介绍

HTTP(HyperTextTransferProtocol)是超文本传输协议的缩写，它用于传送www方式的数据。HTTP协议采用了请求响应模型。客服端向服务器发送一 ... [详细]

蜡笔小新 2024-11-14 09:13:00
string
vue引入echarts地图的四种方式

一、vue中引入echart1、安装echarts:npminstallecharts--save2、在main.js文件中引入echarts实例: Vue.prototype.$echartsecharts3、在需要用到echart图形的vue文件中引入: importechartsfrom&quot;echarts&quot;;4、如果用到map（地图），还 ... [详细]

蜡笔小新 2024-11-15 13:07:46
cookie
网站访问全流程解析

本文详细介绍了从用户在浏览器中输入一个域名（如www.yy.com）到页面完全展示的整个过程，包括DNS解析、TCP连接、请求响应等多个步骤。 ... [详细]

蜡笔小新 2024-11-12 18:13:16
text
解决 Ubuntu 下 Samba 重新安装时配置文件未重新生成的问题

在 Ubuntu 中遇到 Samba 服务器故障时，尝试卸载并重新安装 Samba 发现配置文件未重新生成。本文介绍了解决该问题的方法。 ... [详细]

蜡笔小新 2024-11-12 13:02:23
main
求助：C语言实现哈夫曼树编码与解码系统

最近遇到了一道关于哈夫曼树的编程题目，需要在下午之前完成。题目要求设计一个哈夫曼编码和解码系统，能够反复显示和处理多个项目，直到用户选择退出。希望各位大神能够提供帮助。 ... [详细]

蜡笔小新 2024-11-15 19:59:41
default
C语言快速入门指南：掌握C指针与基础语法

C语言是计算机科学和编程领域的基石，许多初学者在学习过程中会感到困惑。本文将详细介绍C语言的基本概念、关键语法和实用示例，帮助你快速上手C语言。 ... [详细]

蜡笔小新 2024-11-15 19:21:59
string
java解析json转Map

java解析json转Map前段时间在做json报文处理的时候，写了一个针对不同格式json转map的处理工具方法，总结记录如下：1、单节点单层级、单节点多层级json转mapim ... [详细]

蜡笔小新 2024-11-15 18:21:27
main
第14周实践项目（4）-验证平衡二叉树

问题**Copyright(c)2015,烟台大学计算机学院*Allrightsreserved.*文件名称：test.cpp*作者：王敏*完成日 ... [详细]

蜡笔小新 2024-11-15 11:49:00
string
WPF项目学习.一

WPF项目搭建版权声明：本文为博主初学经验，未经博主允许不得转载。一、前言记录在学习与制作WPF过程中遇到的解决方案。使用MVVM的优点是数据和视图分离，双向绑定，低耦合，可重用行 ... [详细]

蜡笔小新 2024-11-15 11:38:43
spring
嵌入式Linux工程师笔试题精选

本文整理了一份基础的嵌入式Linux工程师笔试题，涵盖填空题、编程题和简答题，旨在帮助考生更好地准备考试。 ... [详细]

蜡笔小新 2024-11-15 10:42:13
string
使用Python爬取妙笔阁小说信息并保存为TXT和CSV格式

本文介绍了如何使用Python爬取妙笔阁小说网仙侠系列中所有小说的信息，并将其保存为TXT和CSV格式。主要内容包括如何构造请求头以避免被网站封禁，以及如何利用XPath解析HTML并提取所需信息。 ... [详细]

蜡笔小新 2024-11-14 19:54:58
go
兆芯X86 CPU架构的演进与现状（国产CPU系列）

本文详细介绍了兆芯X86 CPU架构的发展历程，从公司成立背景到关键技术授权，再到具体芯片架构的演进，全面解析了兆芯在国产CPU领域的贡献与挑战。 ... [详细]

蜡笔小新 2024-11-14 15:04:34
string
将.o文件链接到.elf文件时

我有一个从C项目编译的.o文件，该文件引用了名为init_static_pool ... [详细]

蜡笔小新 2024-11-14 10:07:21
default
为什么多数程序员难以成为架构师？

探讨80%的程序员为何难以晋升为架构师，涉及技术深度、经验积累和综合能力等方面。本文将详细解析Tomcat的配置和服务组件，帮助读者理解其内部机制。 ... [详细]

蜡笔小新 2024-11-14 03:39:46
string
Spring Boot 入门指南：Hello World 示例

本教程详细介绍了如何使用 Spring Boot 创建一个简单的 Hello World 应用程序。适合初学者快速上手。 ... [详细]

蜡笔小新 2024-11-12 15:18:38

石某俊

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章