Logstash 未打开 filebeat 的输入端口

Question

我在设置 ELK 堆栈时遇到问题，

Filebeat 已配置，

filebeat.prospectors:
- input_type: log
    paths:
       - /var/log/syslog
       #- c:\programdata\elasticsearch\logs\*
       document_type: syslog

output.logstash:
  # The Logstash hosts
   hosts: ["localhost:5044"]
   bulk_max_size: 1024

这些是logstash的输入文件，

对于输入，

input {
   beats {
     type => beats
     port => 5044
   }
 }

对于输出，

 output {
  elasticsearch {
    hosts => ["localhost:9200"]
    manage_template => false
    index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
    document_type => "%{[@metadata][type]}"
  }
 }

我可以在 filebeat 日志中看到它给了我这个错误，

 2017-04-19T15:30:55+05:30 ERR Connecting error publishing events (retrying): dial tcp 127.0.0.1:5044: getsockopt: connection refused

很明显，logstash 没有打开端口，我也可以通过 netstat 看到端口没有打开监听。

为什么logstash没有打开端口，我错过了什么吗？ 另外，当端口打开时，它是否会自动将数据发送到logstash，然后logstash再发送到elasticsearch？

Answer 1

当你在同一个盒子上也有一个完整的logstash实例时，为什么你有filebeat轮询日志，我有点困惑。 Logstash 可以做 Filebeat 可以做的事情，并且避免了整个问题。

input {
  file {
    path => [ "/var/log/syslog" ]
    type => "syslog"
  }
}

但是，您想知道 Logstash 不开放端口的原因。我建议将您的节拍输入更改为这样，以进行测试：

input {
   beats {
     type => beats
     host => "localhost"
     port => 5044
   }
}

这将告诉 beats 输入具体绑定到“localhost”，这是 Filebeat 期望找到监听端口的地方。

Answer 2

如果您将 logstash 与 docker 一起使用，请尝试使您的端口可用于不在您容器中的其他应用程序。 安装 docker 时可以使用标志 -p 5044。 例如：

docker run -d --name logstash 
-p 5044:5044
--restart=always 
-e "XPACK.MONITORING.ELASTICSEARCH.URL=http://ELASTIC_IP:9200" 
docker.elastic.co/logstash/logstash:7.0.0