centos filebeat如何排查故障

CentOS 上 Filebeat 故障排查步骤

一快速定位流程

查看服务状态与最近错误
- 执行：sudo systemctl status filebeat -l
- 查看详细日志：sudo journalctl -xe -u filebeat.service
核对配置文件语法与关键项
- 语法：yamllint /etc/filebeat/filebeat.yml
- 重点检查：filebeat.inputs.paths、output.elasticsearch 或 output.logstash 的主机、端口、认证、SSL 配置
查看 Filebeat 自身日志
- 执行：sudo tail -f /var/log/filebeat/filebeat
验证网络连通性
- Logstash：telnet logstash-host 5044
- Elasticsearch：curl -X GET "http://es-host:9200"
检查权限与路径
- 进程用户：ps -ef | grep filebeat
- 日志可读：ls -l /var/log/...；必要时调整属主或以合适用户运行
重启并观察
- sudo systemctl restart filebeat && sudo journalctl -u filebeat -f

二常见故障与修复要点

服务无法启动或反复失败
- 用 journalctl -xe -u filebeat.service 定位具体报错；常见为配置语法错误、端口冲突、权限不足
- 修复后执行：systemctl reset-failed filebeat.service && systemctl start filebeat
配置错误与缩进问题
- 使用 yamllint 校验；核对 hosts、index、username/password、ssl 等关键项
权限被拒绝
- 确认 Filebeat 运行用户对日志文件具备读取权限；必要时调整文件/目录权限或以具备权限的用户运行
日志路径不存在或文件被轮转删除
- 确认 paths 正确；若日志被轮转删除，启用 close_removed: true 以避免句柄占用与采集异常
端口被占用
- 检查端口占用：sudo netstat -tuln | grep <端口号>；修改配置或更换端口
网络不通或目标服务未就绪
- 使用 telnet/curl 测试到 Logstash 5044 或 Elasticsearch 9200 的连通性；排查防火墙/安全组策略
资源不足
- 通过 top/htop 观察 CPU/内存；优化采集并发与批处理参数，或扩容节点
解析错误
- 核对输入日志格式与处理器（如 dissect/grok）配置是否匹配；必要时调整解析规则

三关键配置与命令清单

配置文件路径
- 主配置：/etc/filebeat/filebeat.yml
- 日志路径：/var/log/filebeat/filebeat
常用命令
- 状态：systemctl status filebeat -l
- 启动/开机自启：systemctl start filebeat && systemctl enable filebeat
- 实时日志：journalctl -u filebeat -f
- 语法校验：yamllint /etc/filebeat/filebeat.yml

最小可用配置示例

输入

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log

输出到 Elasticsearch

output.elasticsearch:
  hosts: ["http://es-host:9200"]
  username: "es_user"
  password: "es_password"

输出到 Logstash

output.logstash:
  hosts: ["logstash-host:5044"]

防火墙放行示例（firewalld）
- sudo firewall-cmd --add-port=5044/tcp --permanent && sudo firewall-cmd --reload
- 或放行 9200 端口用于直连 Elasticsearch

四仍未恢复时的建议

最新问答