目录

一、ELK及ELFK排错思路

1.1filebeat侧排查

1.2logstash侧排查

1.3ES、kibana侧问题

---

一、ELK及ELFK排错思路

1.1filebeat侧排查

第一步：排查filebeat上的配置文件有没有写错，filebeat的配置文件是yml文件，一定要注意格式。

第二步：查看filebeat上能否telnet通logstash上的5044端口，若ping不通则要查看防火墙和filebeat的配置文件是否指向错误，或者在logstash加载filebeat配置文件时即执行 logstash -f logstash.conf时查看弹出的日志中是否有connection fail或者no route等字样，此2个错误表示防火墙或者5044端口与filebeat不通

1.2logstash侧排查

第一步：首先在加载配置文件是查看是否与filebeat成功建立连接，若不成功检查端口5044和防火墙selinux等是否关闭。连接成功截图如下

1.3ES、kibana侧问题

第一步：若kibana侧不能创建索引，则需要在ES上查看是否有对应名称的索引，命令如下

curl -X GET "192.168.246.8:9200/_cat/indices/?v" 

#使用时将ip和端口换为自己的ES端口，若索引过多可直接加管道符使用grep过滤名称

第二步：若ES上没有数据，则需要去排查logstash上是否将数据传输过来，若ES上有索引但是kibana创建索引成功后日志显示No results found。

则需要调整一下获取的时间，或者访问一下服务，产生一些日志即可。