- Filebeat 参考其他版本
- Filebeat 概述
- 快速入门:安装和配置
- 设置和运行
- 升级
- Filebeat 的工作原理
- 配置
- 输入
- 模块
- 通用设置
- 项目路径
- 配置文件加载
- 输出
- Kerberos
- SSL
- 索引生命周期管理 (ILM)
- Elasticsearch 索引模板
- Kibana 端点
- Kibana 仪表板
- 处理器
- 定义处理器
- add_cloud_metadata
- add_cloudfoundry_metadata
- add_docker_metadata
- add_fields
- add_host_metadata
- add_id
- add_kubernetes_metadata
- add_labels
- add_locale
- add_network_direction
- add_nomad_metadata
- add_observer_metadata
- add_process_metadata
- add_tags
- append
- cache
- community_id
- convert
- copy_fields
- decode_base64_field
- decode_cef
- decode_csv_fields
- decode_duration
- decode_json_fields
- decode_xml
- decode_xml_wineventlog
- decompress_gzip_field
- detect_mime_type
- dissect
- dns
- drop_event
- drop_fields
- extract_array
- fingerprint
- include_fields
- move_fields
- parse_aws_vpc_flow_log
- rate_limit
- registered_domain
- rename
- replace
- script
- syslog
- timestamp
- translate_ldap_attribute
- translate_sid
- truncate_fields
- urldecode
- 自动发现
- 内部队列
- 日志记录
- HTTP 端点
- 正则表达式支持
- 检测
- 功能标志
- filebeat.reference.yml
- 操作指南
- 模块
- 模块概述
- ActiveMQ 模块
- Apache 模块
- Auditd 模块
- AWS 模块
- AWS Fargate 模块
- Azure 模块
- CEF 模块
- Check Point 模块
- Cisco 模块
- CoreDNS 模块
- CrowdStrike 模块
- Cyberark PAS 模块
- Elasticsearch 模块
- Envoyproxy 模块
- Fortinet 模块
- Google Cloud 模块
- Google Workspace 模块
- HAproxy 模块
- IBM MQ 模块
- Icinga 模块
- IIS 模块
- Iptables 模块
- Juniper 模块
- Kafka 模块
- Kibana 模块
- Logstash 模块
- Microsoft 模块
- MISP 模块
- MongoDB 模块
- MSSQL 模块
- MySQL 模块
- MySQL Enterprise 模块
- NATS 模块
- NetFlow 模块
- Nginx 模块
- Office 365 模块
- Okta 模块
- Oracle 模块
- Osquery 模块
- Palo Alto Networks 模块
- pensando 模块
- PostgreSQL 模块
- RabbitMQ 模块
- Redis 模块
- Salesforce 模块
- Santa 模块
- Snyk 模块
- Sophos 模块
- Suricata 模块
- System 模块
- Threat Intel 模块
- Traefik 模块
- Zeek (Bro) 模块
- ZooKeeper 模块
- Zoom 模块
- 导出的字段
- ActiveMQ 字段
- Apache 字段
- Auditd 字段
- AWS 字段
- AWS CloudWatch 字段
- AWS Fargate 字段
- Azure 字段
- Beat 字段
- 解码 CEF 处理器字段
- CEF 字段
- Checkpoint 字段
- Cisco 字段
- 云提供商元数据字段
- Coredns 字段
- Crowdstrike 字段
- CyberArk PAS 字段
- Docker 字段
- ECS 字段
- Elasticsearch 字段
- Envoyproxy 字段
- Fortinet 字段
- Google Cloud Platform (GCP) 字段
- google_workspace 字段
- HAProxy 字段
- 主机字段
- ibmmq 字段
- Icinga 字段
- IIS 字段
- iptables 字段
- Jolokia Discovery 自动发现提供程序字段
- Juniper JUNOS 字段
- Kafka 字段
- kibana 字段
- Kubernetes 字段
- 日志文件内容字段
- logstash 字段
- Lumberjack 字段
- Microsoft 字段
- MISP 字段
- mongodb 字段
- mssql 字段
- MySQL 字段
- MySQL Enterprise 字段
- NATS 字段
- NetFlow 字段
- Nginx 字段
- Office 365 字段
- Okta 字段
- Oracle 字段
- Osquery 字段
- panw 字段
- Pensando 字段
- PostgreSQL 字段
- 进程字段
- RabbitMQ 字段
- Redis 字段
- s3 字段
- Salesforce 字段
- Google Santa 字段
- Snyk 字段
- sophos 字段
- Suricata 字段
- System 字段
- threatintel 字段
- Traefik 字段
- Windows ETW 字段
- Zeek 字段
- ZooKeeper 字段
- Zoom 字段
- 监控
- 安全
- 故障排除
- 获取帮助
- 调试
- 了解记录的指标
- 常见问题
- 在使用 Kubernetes 元数据时提取容器 ID 时出错
- 无法从网络卷读取日志文件
- Filebeat 未从文件中收集行
- 打开的文件句柄过多
- 注册表文件太大
- Inode 重用导致 Filebeat 跳过行
- 日志轮换导致事件丢失或重复
- 打开的文件句柄导致 Windows 文件轮换出现问题
- Filebeat 占用过多 CPU
- Kibana 中的仪表板错误地分解数据字段
- 字段未在 Kibana 可视化中编制索引或可用
- Filebeat 未传输文件的最后一行
- Filebeat 长时间保持已删除文件的打开文件句柄
- Filebeat 使用过多带宽
- 加载配置文件时出错
- 发现意外或未知字符
- Logstash 连接不起作用
- 发布到 Logstash 失败,并显示“connection reset by peer”消息
- @metadata 在 Logstash 中丢失
- 不确定是使用 Logstash 还是 Beats
- SSL 客户端无法连接到 Logstash
- 监控 UI 显示的 Beats 比预期的少
- 仪表板无法定位索引模式
- 由于 MADV 设置导致高 RSS 内存使用率
- 为 Beats 做贡献
配置 Kibana 仪表盘加载
编辑配置 Kibana 仪表盘加载
编辑Filebeat 打包了示例 Kibana 仪表盘、可视化和搜索,用于在 Kibana 中可视化 Filebeat 数据。
要加载仪表盘,您可以在 filebeat.yml 配置文件的 setup.dashboards 部分启用仪表盘加载,或者您可以运行 setup 命令。默认情况下,仪表盘加载处于禁用状态。
启用仪表盘加载后,Filebeat 使用 Kibana API 加载示例仪表盘。仪表盘加载仅在 Filebeat 启动时尝试。如果 Kibana 在启动时不可用,Filebeat 将停止并显示错误。
要启用仪表盘加载,请将以下设置添加到配置文件中
setup.dashboards.enabled: true
配置选项
编辑您可以在 filebeat.yml 配置文件的 setup.dashboards 部分指定以下选项
setup.dashboards.enabled
编辑如果此选项设置为 true,Filebeat 将从 Filebeat 安装主路径中的本地 kibana 目录加载示例 Kibana 仪表盘。
如果 enabled 设置为 true 或 setup.dashboards 部分包含在配置中,Filebeat 将在启动时加载仪表盘。
启用仪表盘加载后,Filebeat 会覆盖任何与您正在加载的仪表盘名称匹配的现有仪表盘。这在 Filebeat 每次启动时都会发生。
如果未设置其他选项,则仪表盘将从 Filebeat 安装主路径中的本地 kibana 目录加载。要从其他位置加载仪表盘,您可以配置以下选项之一:setup.dashboards.directory、setup.dashboards.url 或 setup.dashboards.file。
setup.dashboards.directory
编辑包含要加载的仪表盘的目录。默认值是主路径中的 kibana 文件夹。
setup.dashboards.url
编辑用于下载仪表盘存档的 URL。如果设置了此选项,Filebeat 将从指定的 URL 下载仪表盘存档,而不是使用本地目录。
setup.dashboards.file
编辑包含要加载的仪表盘的文件存档(zip 文件)。如果设置了此选项,Filebeat 将在指定路径中查找仪表盘存档,而不是使用本地目录。
setup.dashboards.beat
编辑如果存档包含多个 Beats 的仪表盘,则此设置允许您选择要加载仪表盘的 Beat。要加载存档中的所有仪表盘,请将此选项设置为空字符串。默认值为 "filebeat"。
setup.dashboards.kibana_index
编辑用于设置配置的 Kibana 索引的名称。默认值为 ".kibana"
setup.dashboards.index
编辑Elasticsearch 索引名称。此设置将覆盖仪表盘和索引模式中定义的索引名称。示例:"testbeat-*"
此设置仅适用于 Kibana 6.0 及更高版本。
setup.dashboards.always_kibana
编辑强制使用 Kibana API 加载仪表盘,而不查询 Elasticsearch 的版本。默认值为 false。
setup.dashboards.retry.enabled
编辑如果此选项设置为 true,并且在加载仪表盘时 Kibana 无法访问,Filebeat 将尝试重新连接到 Kibana,而不是退出并显示错误。默认情况下禁用。
setup.dashboards.retry.interval
编辑Kibana 连接重试之间的时间间隔。默认为 1 秒。
setup.dashboards.retry.maximum
编辑在退出并显示错误之前的最大重试次数。设置为 0 表示无限重试。默认值为无限。
setup.dashboards.string_replacements
编辑needle 和替换字符串映射,用于替换仪表盘及其引用内容中的 needle 字符串。
On this page
- 配置选项
setup.dashboards.enabledsetup.dashboards.directorysetup.dashboards.urlsetup.dashboards.filesetup.dashboards.beatsetup.dashboards.kibana_indexsetup.dashboards.indexsetup.dashboards.always_kibanasetup.dashboards.retry.enabledsetup.dashboards.retry.intervalsetup.dashboards.retry.maximumsetup.dashboards.string_replacements