centos filebeat故障排查方法

CentOS 上 Filebeat 故障排查步骤

一 快速定位与基础检查

• 查看服务状态与最近日志
  • 执行：sudo systemctl status filebeat -l
  • 实时看日志：sudo journalctl -xe -u filebeat.service 或 sudo tail -f /var/log/filebeat/filebeat
• 核对配置文件
  • 主配置路径：/etc/filebeat/filebeat.yml
  • 语法校验：yamllint /etc/filebeat/filebeat.yml
• 版本与兼容性
  • 查看版本：filebeat -version
  • 若对接 Logstash/Elasticsearch，确认版本兼容（参考 Elastic 官方兼容矩阵）
• 重启并观察
  • 修改配置后：sudo systemctl restart filebeat
  • 若频繁失败：systemctl reset-failed filebeat.service 再启动，便于继续观察

二 配置与权限检查

• 输出配置
  • 到 Logstash：output.logstash.hosts: ["logstash:5044"]
  • 到 Elasticsearch：output.elasticsearch.hosts: ["http://es:9200"]
  • 启用安全时补充：username/password 或 ssl.certificate_authorities、ssl.verification_mode 等
• 输入路径与文件存在
  • 示例：filebeat.inputs[].paths: ["/var/log/*.log", "/var/log/messages"]
  • 确认日志文件真实存在且路径无误
• 文件与目录权限
  • 常见运行用户为 filebeat 或 root
  • 示例：ls -l /var/log/secure /var/log/messages 检查读权限
  • 配置权限：sudo chmod go-w /etc/filebeat/filebeat.yml
• 常见配置错误
  • YAML 缩进错误、端口写错（如 Logstash 默认 5044）、HTTPS 未配证书、认证信息缺失

三 网络连通性与防火墙

• 连通性测试
  • Logstash：telnet logstash-host 5044
  • Elasticsearch：curl -X GET "http://es-host:9200"
• 防火墙放行（以 firewalld 为例）
  • 放行 Logstash：sudo firewall-cmd --add-port=5044/tcp --permanent && sudo firewall-cmd --reload
  • 放行 Elasticsearch（如 9200）：sudo firewall-cmd --add-port=9200/tcp --permanent && sudo firewall-cmd --reload
• 常见网络报错
  • connection refused：目标服务未启动或端口错误
  • i/o timeout：网络不通、端口未放行、目标过载或 TLS 握手失败

四 运行期问题定位与处理

• 资源与句柄
  • 资源：top/htop 观察 CPU/内存，资源不足会导致采集或发送缓慢
  • 文件句柄：删除旧日志后若句柄未释放，配置 close_removed: true
• 日志解析错误
  • 查看 Filebeat 自身日志定位具体报错行与原因
  • 确认输入日志格式与解析器（如 JSON、dissect/grok 处理器）匹配
• 配置热更新
  • 修改后执行：sudo systemctl restart filebeat 并实时跟踪日志验证

五 常见症状与修复对照表