beats
Install
$ sudo apt-get update && sudo apt-get install filebeat
$ sudo update-rc.d filebeat defaults 95 10
とかいてあるが、
$ sudo systemctl enable filebeat
$ sudo systemctl start filebeat
とした。
設定
/etc/filebeat/filebeat.ymlをみたら、/var/log以下をinputするような設定があったので、yes(on)にした。
status chec
index一覧
$ curl localhost:9200/_cat/indices?v
filebeatsの status が yellowだが、(yellowとgreenでstatusの差は、具体的には何だろう)
$ curl localhost:9200/filebeat-6.4.0-2018.09.18/_search/?size=1000&pretty=1
とすると、たくさん何かがでてくる。
$ curl -0 out.json localhost:9200/filebeat-6.4.0-2018.09.18/_search/?size=1000&pretty=1
$ cat out.json |jq '.hits.hits|.[]._source.source'|sort|uniq -c
として、どれくらい/var/logファイルを拾ってるかみた。
curlの出力 stdouを、pipeで jq に渡したらうまくいかずに、ファイル経由にした。stderrにでてるわけじゃないだろうが、、、よくわからない。短いresponseならokぽいので、何かフォーマットの問題かな、それとも terminalと標準出力に何か関連があるのだろうか。