Filebeat выдает ошибки при попытке отправить логи на Logstash

Bob04 · May 19, 2017, 11:28pm

Кто-нибудь сталкивался с похожей проблемой:

Filebeat выдает ошибки при попытке отправить логи на Logstash:

2017-05-19T18:14:25-05:00 INFO Non-zero metrics in the last 30s: libbeat.logstash.publish.read_bytes=140 libbeat.logstash.publish.write_bytes=18393
2017-05-19T18:14:37-05:00 ERR Failed to publish events caused by: read tcp ... :60141->... :5044: i/o timeout
2017-05-19T18:14:37-05:00 INFO Error publishing events (retrying): read tcp ... :60141->... :5044: i/o timeout

Но, похоже, логи все-равно отправляются на Logstash.

filebeat.yml

filebeat.prospectors:

- input_type: log
  paths:
    - /var/log/app1.log

registry_file: /var/lib/filebeat/registry

output.logstash:
  hosts: ["ip_address:5044"]
  ssl.certificate_authorities: ["/etc/ssl/certs/logstash-forwarder.crt"]

logstash.conf:

input {
  beats {
    port => 5044
    ssl => true
    ssl_certificate => "/usr/share/logstash/ssl/logstash-forwarder.crt"
    ssl_key => "/usr/share/logstash/ssl/logstash-forwarder.key"
  }
}

output {
  elasticsearch {
    hosts => "elasticsearch:9200"
  }
}

В чем может быть проблема?

Igor_Motov · May 20, 2017, 2:44am

Да, и много раз Search results for 'Failed to publish events caused by: read tcp' - Discuss the Elastic Stack

Bob04 · May 20, 2017, 3:55am

Благодарю.

Я немного изменил конфигурацию, чтобы Filebeat посылал логи не напрямую на Logstash, а через Kafka. Но в этом случае Logstash постоянно получает новые сообщения от Kafka, даже если новые логи не поступают в Kafka.
Events received, Events emitted значения для Logstash постоянно растут.

Не могли бы подсказать, в чем проблема?

Igor_Motov · May 20, 2017, 6:24pm

А вы напрямую filebeat с elasticsearch соединять не пробовали?

Bob04 · May 21, 2017, 4:53am

Напрямую соединять пробывал и все работало отлично. Но с Kafka возникают проблемы с появлением новых сообщений. Причём эти новые сообщения не отображаются даже в Kibana Discover, хотя Monitoring показывает, что число сообщений в Logstash постоянно растёт.

Bob04 · May 21, 2017, 10:17pm

Кстати, насчет исходного вопроса про Filebeat:

Filebeat выдает ошибки ERR Failed to publish events , но логи все же отправляются на Logstash.

2017-05-21T16:39:21-05:00 ERR Failed to publish events caused by: read tcp ...->...:5044: i/o timeout
2017-05-21T16:39:21-05:00 INFO Error publishing events (retrying): read tcp ...->...:5044: i/o timeout

Это допустимо?

Igor_Motov · May 22, 2017, 1:47pm

А вы не смотрели, что это за сообщения? Может заменить elasticsearch на stdout output и посмотреть, что это за сообщения такие.

Существует много различных причин для этих сообщений, и этот вопрос обсуждался много раз. Посмотрите ссылку, в первом сообщении. Если у вас уникальная ситуация, которая еще не обсуждалась - то опишите ее, пожалуйста, более подробно.

Bob04 · May 24, 2017, 12:21am

Оказалось, это логи за предыдущие дни. Очень странно, поскольку consumer lag равен 0, а сообщения начинают приходить на Logstash сразу же после его запуска.

Igor_Motov · May 24, 2017, 1:28am

Может, у вас еще где-нибудь процесс запущен, который без остановки старые логи в кафку пихает?

system · June 21, 2017, 1:28am

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.