Я изучаю стек ELK. В настоящее время у меня установлены Elasticsearch и Kibana на экземпляре AWS. Я успешно записываю документы в индекс Elasticsearch по этому индексу через консольное приложение Java, которое я написал. Я вижу эти бревна в Кибане. Теперь я хочу увидеть, как эти журналы вводятся в Logstash на другом компьютере.
В попытке сделать это я установил Logstash. Я добавил следующую конфигурацию:
logstash.conf
input {
elasticsearch {
hosts => "https://<aws-instance>.us-east-1.aws.found.io:9243"
user => "<myUsername>"
password => "<myPassword>"
index => "<myIndexName>"
query => '{ "query": { "match": { "statuscode": 200 } }, "sort": [ "_doc" ] }'
}
}
output {
stdout { }
}
Когда я запускаю Logstash из окна консоли, я ожидаю увидеть журналы, помещенные в мой индекс Elasticsearch. Вместо этого я вижу:
Sending Logstash logs to C:/Temporary/logs which is now configured via log4j2.properties
[...][WARN ][logstash.config.source.multilocal] Ignoring the 'pipelines.yml' file because modules or command line options are specified
[...][INFO ][logstash.runner ] Starting Logstash {"logstash.version"=>"6.4.2"}
[...][INFO ][logstash.pipeline ] Starting pipeline {:pipeline_id=>"main", "pipeline.workers"=>1, "pipeline.batch.size"=>125, "pipeline.batch.delay"=>50}
[...][INFO ][logstash.pipeline ] Pipeline started successfully {:pipeline_id=>"main", :thread=>"#<Thread:0x13bbcec sleep>"}
[...][INFO ][logstash.agent ] Pipelines running {:count=>1, :running_pipelines=>[:main], :non_running_pipelines=>[]}
[...][INFO ][logstash.agent ] Successfully started Logstash API endpoint {:port=>9600}
[...][INFO ][logstash.pipeline ] Pipeline has terminated {:pipeline_id=>"main", :thread=>"#<Thread:0x13bbcec run>"}
Я не понимаю этого. Почему прекращается «трубопровод»? На данный момент я не понимаю, связана ли проблема с Logstash или с подключением к моему индексу Elasticsearch. В любом случае я понятия не имею. Я также попытался запустить с уровнем журнала trace. К сожалению, я ничего не узнал из этих дополнительных журналов. Нет сообщений об ошибках. После инициализации входного плагина Elasticsearch я просто вижу:
[...][DEBUG][logstash.inputs.elasticsearch] Closing {:plugin=>"LogStash::Inputs::Elasticsearch"}
Я не знаю, почему это закрылось бы.