如何通过Filebeat在CentOS上进行故障排查

在 CentOS 上排查 Filebeat 可按“服务状态 → 日志 → 配置 → 网络 → 权限 → 资源”的顺序进行，以下给出可直接执行的命令与要点

一 快速定位与通用检查

• 查看服务状态与启动失败原因
  • 执行：sudo systemctl status filebeat -l
  • 查看详细上下文：sudo journalctl -xeu filebeat.service
• 实时查看运行日志
  • 执行：sudo tail -f /var/log/filebeat/filebeat 或 sudo tail -f /var/log/beats/filebeat/filebeat
• 核对配置文件语法与缩进
  • 执行：sudo yamllint /etc/filebeat/filebeat.yml
• 检查系统资源
  • 执行：top/htop 观察 CPU/内存 是否紧张
• 检查文件句柄与磁盘空间
  • 执行：lsof | grep deleted 清理已删除但仍被占用的句柄
  • 执行：df -h 确认 /var 等分区未满
• 修改配置后重启生效
  • 执行：sudo systemctl restart filebeat
    以上步骤能覆盖大多数启动失败、配置错误与资源瓶颈场景。

二 配置与权限专项排查

• 配置文件路径与关键项
  • 主配置通常为：/etc/filebeat/filebeat.yml
  • 重点核对：
    • filebeat.inputs 中的日志路径（如 /var/log/*.log）
    • output.elasticsearch 或 output.logstash 的 hosts、端口、协议、认证
    • 若启用 SSL/TLS，需配置 ssl.certificate_authorities、ssl.verification_mode 等
• 权限与运行用户
  • 查看进程用户：ps -ef | grep filebeat
  • 确保该用户对日志文件具备 读权限，对配置与数据目录具备 读写权限
• YAML 缩进与语法
  • 使用 yamllint 校验，避免因缩进错误导致解析失败
• 版本兼容性
  • 执行：filebeat -version
  • 若对接 Logstash/Elasticsearch，确认 大版本一致（如均为 7.x 或 8.x）
    以上为配置文件、权限与版本兼容的高频问题点。

三 网络连通性排查

• 到 Logstash 的连通性
  • 执行：telnet logstash-host 5044（默认 Beats 端口为 5044）
• 到 Elasticsearch 的连通性
  • 执行：curl -X GET "http://elasticsearch:9200"（如启用 HTTPS/认证，需相应调整）
• 防火墙与安全组
  • 放行对应端口（示例）：
    • firewalld：sudo firewall-cmd --add-port=5044/tcp --permanent && sudo firewall-cmd --reload
    • 如使用 UFW（较少见于 CentOS）：sudo ufw allow 5044
• 常见网络报错
  • 若出现 i/o 超时（如连接 10.96.0.1:443 超时），优先排查目标可达性、端口开放与代理设置
    以上步骤覆盖端口连通、协议与防火墙等网络类故障。

四 常见症状与处理对照表

以上对照表汇总了高频症状、定位命令与修复方向，便于快速处置。