啟用System logs,把檔名改掉重啟服務即可
pi@raspberrypi:/etc/filebeat/modules.d $sudo mv system.yml.disabled system.yml
pi@raspberrypi:/etc/filebeat/modules.d $sudo systemctl restart filebeat
這樣在kibana中可以持續收到讀進來的LOG記錄, 但kibana 的 @timestamp卻無法對應system.auth.timestamp這個欄位(正確的時間), 反觀己啟用的Apache沒這個問題, 而且就自開啟了自動轉換時區旳設置,也無作用, 現在透過以下的步驟可以重新完成對應
打開轉換時區的設置
sudo nano /etc/filebeat/modules.d/system.yml
將此參數設為TRUE
var.convert_timezone: true
停掉filebeat服務
sudo systemctl stop filebeat
清掉原有 Elasticsearch 的 LOG,還有kibana裡的INDEX(
curl -XDELETE 'http://localhost:9200/_ingest/pipeline/filebeat-*'
有設密碼的用這個方式連結
curl -XDELETE "http://elastic:[password]@localhost:9200/_ingest/pipeline/filebeat*"
如果想讓filebeat重抓原來的LOG,記得清掉registry,這個檔案是在記錄傳送的進度
sudo rm /var/lib/filebeat/registry
啟用filebeat服務
sudo systemctl restart filebeat
過幾分鐘就可以看到正常的@timestamp值
沒有留言:
張貼留言