调试
编辑调试
编辑默认情况下,Auditbeat 将其所有输出发送到 syslog。当你在前台运行 Auditbeat 时,可以使用 -e 命令行标志将输出重定向到标准错误。例如:
auditbeat -e
默认的配置文件是 auditbeat.yml(文件的位置因平台而异)。你可以通过指定 -c 标志来使用不同的配置文件。例如:
auditbeat -e -c myauditbeatconfig.yml
你可以通过启用一个或多个调试选择器来增加调试消息的详细程度。例如,要查看与发布者相关的消息,请使用 publisher 选择器启动 Auditbeat:
auditbeat -e -d "publisher"
如果你想要所有调试输出(事先警告,这会非常多),可以使用 *,像这样:
auditbeat -e -d "*"