filebeat 将日志直接发送到弹性搜索而不是 logstash答案

【问题标题】：filebeat is sending log directly to elastic search not to logstashfilebeat 将日志直接发送到弹性搜索而不是 logstash
【发布时间】：2016-07-12 12:50:57
【问题描述】：

我面临这个问题，因为我已经删除了所有索引。为此，我执行了以下命令

curl -XDELETE 'http://localhost:9200/*'

filebeat.yml

filebeat:
  prospectors:
    -
     paths:
      - /var/log/syslog
    - input_type : log
      document_type: syslog
  registry_file: /var/lib/filebeat/registry
output:
  logstash:
    hosts: ["127.0.0.1:5044"]
    bulk_max_size: 1024

shipper:
logging:
  files:
    rotateeverybytes: 10485760 # = 10MB

和logstash配置文件输入配置

   input {
      beats {
        port => 5044
      }
    }

和输出配置

  output {
      elasticsearch {
        hosts => ["localhost:9200"]
        sniffing => true
        manage_template => false
        index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
        document_type => "%{[@metadata][type]}"
      }
    }

问题是日志不是通过 logstash 来的，这些是直接来的，因为我看不到在 kibana 中添加的新字段，并且在 apche-access 日志的情况下，只有日志作为类型的值。

【问题讨论】：

以后，请从您的配置中删除所有这些 cmets

标签： logstash elastic-stack filebeat

【解决方案1】：

您的 Filebeat 配置可能只是语法错误，请尝试更改

 - input_type : log

到

input_type : log

- 肯定会通过声明第二个探矿者来弄乱您的配置。如果您所有的 logstash 处理都是按类型完成的，那么您输入不正确的日志将通过 logstash 进入 elasticsearch 而不进行任何解析。

【讨论】：

如果我删除 - 那么我收到文件加载错误@will 并且我已经将类型的过滤器放入了 logstash
你好 @will 谢谢，这也是 filebeat.yml 中的问题和其他间距问题，现在删除后可以正常工作-

【解决方案2】：

正如您的配置文件所示，您已经注释掉了 elasticsearch 输出配置。因此，您收到的输出不是因为 elasticsearch，而是因为 logstash。您已将其添加为 cmets，但应该这样做：

elasticsearch:
# Array of hosts to connect to.
# Scheme and port can be left out and will be set to the default (http and 9200)
# In case you specify and additional path, the scheme is required: http://localhost:9200/path
# IPv6 addresses should always be defined as: https://[2001:db8::1]:9200
   hosts: ["localhost:9200"]

【讨论】：

OP 要求发送到logstash，特别是不直接发送到弹性
@WillBarnwell logstash 具有将日志输出到弹性搜索中的配置，因此，如果 logstash 没有接收任何数据，那么弹性搜索是如何接收数据的？那么我从最初的问题中推断出的是，用户希望有两个输出，一个通过弹性搜索，另一个通过 logstash。