講師回答 / rockybean
-E 后面加空格即可
講師回答 / rockybean
可以看下這里,packebeat 沒法抓取 loopback 的網(wǎng)卡https://www.elastic.co/guide/en/beats/packetbeat/current/faq.html#packetbeat-loopback-interface
已采納回答 / rockybean
哦,你用的是term查詢,是直接拿著這個(gè)term去匹配的,但是默認(rèn)分詞結(jié)果是小寫的,所以會(huì)無(wú)法匹配,你用match就可以了
2018-04-06
已采納回答 / rockybean
filebeat 不需要知道 master 節(jié)點(diǎn),你給 filebeat 的是 data 節(jié)點(diǎn)地址即可,不必給 master 節(jié)點(diǎn)地址
2018-03-19
講師回答 / rockybean
樓上同學(xué)回答的沒啥問題。我再簡(jiǎn)單回答下~可以的,如果目錄不存在,es 會(huì)自動(dòng)創(chuàng)建目錄,當(dāng)然你要保證這個(gè)目錄的父目錄對(duì) es 的用戶是可寫的。
2018-01-29
已采納回答 / rockybean
你的版本應(yīng)該是6.x 了吧?教程里面是5.x,6.x 后不允許多個(gè) output 了
已采納回答 / rockybean
是的,文中也給出解決辦法了If you require multiple outputs, you have the following options:use the Logstash output and then use Logstash to pipe the events to multiple outputsrun multiple instances of the same BeatIf you used the?file?or?console?outputs for debugging p...
已采納回答 / rockybean
我這里的數(shù)據(jù)是自己測(cè)試的,你不需要管這些數(shù)據(jù),這個(gè)實(shí)例是為了抓取 production 集群的查詢語(yǔ)句的,和數(shù)據(jù)沒有關(guān)系
已采納回答 / rockybean
目前還沒有很好的解決方案,可以看下這個(gè)討論https://github.com/elastic/kibana/issues/3578
