发送输出到logstash

Question

我对ELK堆栈非常陌生，并且在围绕它时遇到了一些困难。

我有/etc/logstash/conf.d/test.conf下一个测试配置，看起来像这样：

input { 
    stdin { } 
} 
output { 
    elasticsearch { 
     hosts => ["localhost:9200"] 
     index => "test" 
} 
    stdout{ } 
} 

当我运行sudo /opt/logstash/bin/logstash -f /etc/logstash/conf.d/test.conf我看到下面的形式在标准输出的输出： 2016-08-04T10:09:46.406Z myserver.local hello world，但我没有看到它在冲击片雷管Kibana。

我想我可能已经创建了错误的索引，因为我不是100％确定该怎么做。

Answer 1

总结评论与一些指针到答案，因为它解决了您的问题。

使用index => "test"是正确的方法。您也可以使用index => "%{fieldname}"将字段值作为索引名称。

1. 您的配置是正确的。我已经测试过它并且你的配置是正确的。它在elasticsearch中创建索引test。
2. 您可以通过在您的浏览器中使用localhost:9200/_cat/indices/?v列出elasticsearch中存在的所有索引来检查您的索引是否已创建。
3. 您在配置中给出的端口号应该与配置为elasticsearch的端口号相匹配。在没有配置elasticsearch的情况下给出不同的端口号将不起作用。默认端口号是9200。
4. 您可能还想检查您使用的端口号是否已被使用。
5. 如果以上所有都已验证，并且索引是在elasticsearch中创建的，那么您应该也可以在kibana中看到它。现在，您可以继续创建kibana中的pattern，索引名称为test。
6. 正如@ alpert的回答中所提到的，您应该玩timepicker并对其进行调整以查看结果。

Answer 2

我想你没看到任何东西，因为你的时间间隔在浏览器的右上角。可能是你的文档比这个时间间隔更长 - 通常是Last 15 minutes。将其更改为更大的intevar，如Today等