При добавлении в конфиг Logstash elasticsearch filter plugun появилась ошибка filebeat: Failed to connect to backoff(async(tcp://xxx.xxx.xxx.xxx:5044)): dial tcp xxx.xxx.xxx.xxx:5044: connect: connection refused

111249 · January 15, 2020, 12:30pm

В фильтре logstash я пытаюсь обратиться к elasticsearch, чтобы получить необходимые данные. Без elasticsearch plugin все работает хорошо (если код закоментирован).

/etc/logstash/conf.d/mysql-beats.conf

input {
  beats {
    port => 5044
    client_inactivity_timeout => 3000
#    ssl => false
  }
}

filter {
  mutate {gsub => ["message", "\t", " "]}
  grok {
    match => {"message" => "%{WORD:method}\s%{WORD:product_name}\s%{WORD:product_price}"}
  }
  if [method] == "UPDATE" {
    mutate {
      convert => {"product_price" => "float"}
    }
#    elasticsearch {
#       hosts => ["http://0.0.0.0:9200"]
#       query_template => "/usr/share/logstash/product-names.json"
#       fields => { "product_name" => "title", "ourProductId" => "ourProductId" }
#       index => "product-names"
#       user => "elastic"
#       password => "elasticpassword"
#    }
  }
}

output {
  if "_grokparsefailure" not in [tags] {
    elasticsearch {
      hosts => ["http://0.0.0.0:9200"]
      index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
      user => "elastic"
      password => "elasticpassword"
    }
  }
}

/usr/share/logstash/product-names.json

{
    "size": 1,
    "query": {
      "term": {
       "ourProductId": {"value": "%{product_name}"}
      }
    },
   "_source": ["title", "ourProductId"]
 }

curl -XGET "xxx.xxx.xxx.xxx:9200/product-names/_mapping?pretty"

{
  "product-names" : {
    "mappings" : {
      "properties" : {
        "ourProductId" : {
          "type" : "keyword"
        },
        "product_name" : {
          "type" : "keyword"
        }
      }
    }
  }
}

из-за чего может возникать ошибка?

Elasticsearch plugin должен обращаться именно к индексам логов? Или можно взять данные из любого индекса?

Изменил query_template на query => "ourProductId:%{product_name}"
данные записываются с filebeat в elasticsearch через logstash, но появился тег _elasticsearch_lookup_failure

Igor_Motov · January 15, 2020, 11:13pm

А elasticsearch обрабатывать запросы успевает?

111249 · January 16, 2020, 8:17am

А как это можно проверить? У меня в индексе всего две тестовые записи с двумя полями, я думаю, что должен успевать. А logstash output не ждет, когда отработают все плагины в фильтре? Я думал, что когда завершены все процессе в фильтре, то тогда только происходит запись в эластик

111249 · January 16, 2020, 9:33am

Мне кажется, проблема в том, что я не могу подключиться к произвольному индексу эластика, а нужно использовать индекс для filebeat. Я попробовал подключиться именно к нему и получилось найти данные, а тег _elasticsearch_lookup_failure пропал.

Igor_Motov · January 16, 2020, 1:53pm

А если заменить filebeat input на stdin input, то что появляется в логах logstash?

system · February 13, 2020, 1:53pm

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.

Topic		Replies	Views
При работе по tcp странно добавляются записи Вопросы на русском языке	4	685	May 1, 2017
Elastic и logstash на разных серверах Вопросы на русском языке	3	729	January 17, 2019
Logstash pipeline, разделение логов в различные индексы Вопросы на русском языке	2	575	October 22, 2021
Проблема с Logstash Вопросы на русском языке	2	557	May 14, 2020
Не приходят логи Вопросы на русском языке	8	3780	November 8, 2019

При добавлении в конфиг Logstash elasticsearch filter plugun появилась ошибка filebeat: Failed to connect to backoff(async(tcp://xxx.xxx.xxx.xxx:5044)): dial tcp xxx.xxx.xxx.xxx:5044: connect: connection refused

Related topics