Elasticsearch+Logstash+Kibana: как настроить Dashboard?

Question

[vlarkanov]

Всем привет!
Только что установил ELK. На сам серевер и еще на одну машину установил Filebeat.

Загрузил шаблон индексов вот так - согласно инструкции If the host running Filebeat does not have direct connectivity to Elasticsearch, see Load the template manually (alternate method) - мой случай т.к. Filebeat у меня передает данные в Logstash, а тот уже отдает их в Elasticsearch:

filebeat export template > filebeat.template.json
curl -XPUT -H 'Content-Type: application/json' localhost:9200/_template/filebeat-6.4.2 -d@filebeat.template.json

Сами дешборды залил вот так:

filebeat setup -e \
-E output.logstash.enabled=false \
-E output.elasticsearch.hosts=['localhost:9200'] \
-E setup.kibana.host=elk.mydomain.ru:5601

На сервере включил модуль filebeats system, на другой машине -system и mysql.
Запустил на обеих машинах filebeats.
В Discovery видны поступающие данные, но вот беда, в Dashbord повсюду что-то вроде

Could not locate that index-pattern-field (id: system.syslog.hostname)

Как победить, товарищи? Чтение документации пока не помогло.

Конфиги:

Filebeat

filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log

filebeat.config.modules:
path: ${path.config}/modules.d/*.yml
reload.enabled: false

setup.template.settings:
index.number_of_shards: 3

setup.kibana:
host: "elk.mydomain.ru:5601"

output.logstash:
# The Logstash hosts
hosts: ["elk.mydomain.ru:5044"]

Logstash

input {
beats {
port => 5044
}
}

output {
elasticsearch {
hosts => ["localhost:9200"]
sniffing => true
manage_template => false
index => "%{[@metadata][beat]}-%{+YYYY.MM.dd}"
document_type => "doc"
}
}

Comments

[hOtRush]

Может надо тут пошаманить? https://i.imgur.com/2Th1UeD.png

[vlarkanov]

hOtRush, там у меня есть какие-то индексы, как раз от filebeat. Но почему-то их недостаточно.

[Талик]

что-то мне подсказывает, что данные у вас поступают в индекс файлбита, а не слогами.
По идее, как-только вы получите логи из приложений или откуда-то, то сможете создать патерн индекса.

[vlarkanov]

Талик, можно поподробнее? Данные поступают постоянно - вижу их в дискавери. Как проверить поступают ли они в индекс файлбита или слогами?

[Талик]

vlarkanov, Я имел ввиду, что данные могут быть системные, которые файл бит или другая система так же пишет в ELK. Ну раз вы говорите, что вы получаете верные данные, ....
Покажите какие у вас патерны индекса созданы? откуда взяли данный дашбоард? Визуализацию пробовали создавать на основе данных?

[vlarkanov]

Талик,
Вот такие индексы:

curl -l localhost:9200/_aliases?pretty
{
".kibana" : {
"aliases" : { }
},
"filebeat-2018.10.19" : {
"aliases" : { }
}
}

Все дашборды стандартные, из самого пакета Filebeats. Визуализации не пробовал.

Answer 1

[vlarkanov]

Решил в итоге просто. Удалил визуализации, дэшборды, темплейт. Закомментил в конфиге Logstash, прописал Elasticsearch.

Выполнил

filebeat setup

Установились и шаблон и дешборды и всё что надо. Раскомментил Logstash, закомментил Elasticsearch, запустил Filebeat. Работает.

Походу,

-E output.logstash.enabled=false \
-E output.elasticsearch.hosts=['localhost:9200']

не обрабатываются нормально.