r2evans's questions

使用 filebeat-8.7.1，我将其配置为将多个源推送到远程 elastisearch。我无法让它将自己的日志记录到本地文件中/var/log/filebeat/filebeat.log，并且我无法阻止它将其日志转储到/var/log/syslog（这也将用于 elastisearch）。

相关配置来自/etc/filebeat/filebeat.yml：

filebeat.inputs:
- type: filestream
  id: rsc-server
  enabled: true
  paths:
    - /var/log/rstudio/rstudio-connect/rstudio*.log
  fields:
    log_type: rsc_server
- type: filestream
  enabled: true
  ignore_older: 5m
  id: rsc-jobs
  paths:
    - /srv/R/RSC/jobs/[0-9]*/*/*
  fields:
    log_type: rsc
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false
setup.template.settings:
  index.number_of_shards: 1
setup.kibana:
  host: "http://my.elasti.host:30002"
output.elasticsearch:
  hosts: ["http://my.elasti.host:30003"]
  allow_older_versions: true
  username: "myuser"
  password: "mypass"
processors:
  - add_host_metadata:
      when.not.contains.tags: forwarded
  - add_cloud_metadata: ~
  - add_docker_metadata: ~
  - add_kubernetes_metadata: ~
logging:
  - level: warning
  - to_syslog: false
  - to_stderr: false
  - json: true
  - files:
    - path: /var/log/filebeat
    - name: filebeat
    - keepfile: 3
    - permissions: 0644

从/etc/filebeat/modules.d/目录中，生成的启用配置是：

# Module: nginx
# Docs: https://www.elastic.co/guide/en/beats/filebeat/master/filebeat-module-nginx.html
- module: nginx
  # Access logs
  access:
    enabled: true
    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    #var.paths:
  # Error logs
  error:
    enabled: true
    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    #var.paths:
  # Ingress-nginx controller logs. This is disabled by default. It could be used in Kubernetes environments to parse ingress-nginx logs
  ingress_controller:
    enabled: false
    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    #var.paths:
# Module: redis
# Docs: https://www.elastic.co/guide/en/beats/filebeat/master/filebeat-module-redis.html
- module: redis
  # Main logs
  log:
    enabled: true
    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    #var.paths: ["/var/log/redis/redis-server.log*"]
  # Slow logs, retrieved via the Redis API (SLOWLOG)
  slowlog:
    enabled: false
    # The Redis hosts to connect to.
    #var.hosts: ["localhost:6379"]
    # Optional, the password to use when connecting to Redis.
    #var.password:
# Module: system
# Docs: https://www.elastic.co/guide/en/beats/filebeat/master/filebeat-module-system.html
- module: system
  # Syslog
  syslog:
    enabled: true
    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    #var.paths:
  # Authorization logs
  auth:
    enabled: true
    # Set custom paths for the log files. If left empty,
    # Filebeat will choose the paths depending on your OS.
    #var.paths:

我相信系统模块的使用syslog是从中提取 /var/log/syslog，而不是推送到中。（当我禁用该模块时，行为不会改变。）

如何修复将logging.*日志发送到的部分/var/log/filebeat/，以及如何防止它发送到 syslog 和/var/log/syslog？

（这是在 ubuntu-22.04 虚拟机上。）

编辑：/lib/systemd/system/filebeat.service有一个空BEAT_LOG_OPTS参数（这是默认文件，不是我编辑的）：

[Unit]
Description=Filebeat sends log files to Logstash or directly to Elasticsearch.
Documentation=https://www.elastic.co/beats/filebeat
Wants=network-online.target
After=network-online.target
[Service]
UMask=0027
Environment="GODEBUG='madvdontneed=1'"
Environment="BEAT_LOG_OPTS="
Environment="BEAT_CONFIG_OPTS=-c /etc/filebeat/filebeat.yml"
Environment="BEAT_PATH_OPTS=--path.home /usr/share/filebeat --path.config /etc/filebeat --path.data /var/lib/filebeat --path.logs /var/log/filebeat"
ExecStart=/usr/share/filebeat/bin/filebeat --environment systemd $BEAT_LOG_OPTS $BEAT_CONFIG_OPTS $BEAT_PATH_OPTS
Restart=always
[Install]
WantedBy=multi-user.target

重新加载（并且性能没有变化）：

# systemctl daemon-reload
# systemctl restart filebeat.service
# systemctl status filebeat.service

● filebeat.service - Filebeat sends log files to Logstash or directly to Elasticsearch.
     Loaded: loaded (/lib/systemd/system/filebeat.service; enabled; vendor preset: enabled)
     Active: active (running) since Thu 2023-05-04 14:49:12 UTC; 20s ago
       Docs: https://www.elastic.co/beats/filebeat
   Main PID: 2080223 (filebeat)
      Tasks: 25 (limit: 76964)
     Memory: 114.4M
        CPU: 5.315s
     CGroup: /system.slice/filebeat.service
             └─2080223 /usr/share/filebeat/bin/filebeat --environment systemd -c /etc/filebeat/filebeat.yml --path.home /usr/share/filebeat --path.config /etc/filebeat --path.data /var/lib/filebeat --path.logs /var/log/filebeat

该进程以 root 身份运行，/var/log/filebeat目录由具有正常权限的 root 拥有：

# ps faxu | grep [/]filebeat
root     2080223  9.4  0.1 2635592 169112 ?      Ssl  14:49   0:36 /usr/share/filebeat/bin/filebeat --environment systemd -c /etc/filebeat/filebeat.yml --path.home /usr/share/filebeat --path.config /etc/filebeat --path.data /var/lib/filebeat --path.logs /var/log/filebeat

# ll -d /var/log/filebeat
drwxr-xr-x 2 root root 4096 May  4 12:54 /var/log/filebeat/
# ll  /var/log/filebeat
total 8
drwxr-xr-x  2 root root   4096 May  4 12:54 ./
drwxr-xr-x 18 root syslog 4096 May  4 12:54 ../

我看到--environment systemd每个filebeat 命令行选项意味着

如果指定了 systemd 或 container，Filebeat 将默认记录到 stdout 和 stderr。

/var/log/syslog这表明日志记录将由于systemd处理进程中的 stdout/stderr 的方式而发生。这似乎是一个进步，但我们仍然没有日志记录到/var/log/filebeat/，这最终是 stdout/stderr 应该去的地方（这将解决日志记录到的问题/var/log/syslog）。

GitLab 13.10的公告有一个弃用通知，将 authorized_keys 用于 ssh 密钥：

第一种机制（通过授权密钥集成）容易受到竞争条件和乱序执行问题的影响，因此难以扩展。因此，它将在 GitLab 14.0 中删除。有关详细信息，请参阅问题 #212227。

用于快速 ssh 密钥查找的文档（快速查找数据库中授权的 SSH 密钥 | GitLab）说

对于 Omnibus Docker，AuthorizedKeysCommand 在 GitLab 11.11 及更高版本中默认设置。

当我在 gitlab 容器的 ssh 配置文件中插入时，我看不到AuthorizedKeysCommand. 但是，我在我的实际 SSH 密钥中也找不到任何参考/var/opt/gitlab/.ssh/authorized_keys，这表明它实际上是在使用快速查找而不是系统authorized_keys文件。

我在管理区域 > 网络 > 性能优化中的配置已启用Write to "authorized_keys" file。我对此的理解是它是部署密钥的备份，而不是该文件将用于所有身份验证。

由于该authorized_keys文件将在 GitLab-14 中被弃用（两个月后？），我期待着。我怎么知道删除对该文件的支持是否会破坏我？我总是可以取消选中“写入authorized_keys”，但我不认为这会立即产生影响。

有没有办法确定 DNS 服务器 ( dnsmasq) 是否使用 8.8.8.8？

我有一个 Google Nest Wifi 路由器，它似乎很清楚（在诊断报告 [1] 中）它正在将 [2] google 的 8.8.8.8 和 8.8.4.4 DNS 名称服务器添加到电缆调制解调器的 DHCP 中分配的名称服务器。由于路由器正在使用dnsmasq，我相信我的查询有效地使用了quad-8，无论配置如何（可以是以下之一：Google、ISP 或自定义/手动；在 Google Wifi 应用程序中设置）。

由于据称 8.8.8.8 不进行 IP 过滤——而且我不知道 Comcast/Xfinity 是否进行 IP 过滤——我不​​知道是否有可能找到一个在两台服务器中有意解析不同的主机名。我对dig, host, 和nslookup知道如何查询特定服务器（假设在 ISP 中没有重定向）感到满意，但我不知道“知道”哪个服务器正在有效使用的好方法。

我控制两个域的区域（通过 hostmonster 和 godaddy）。是否有一些启发式方法可以进行区域更改并推断哪个上游服务器解决了它？它将缓存响应的事实使这有点问题[3]。

（我在诊断报告中没有找到任何dnsmasq配置文件，并且我没有对路由器的 ssh 访问权限。我目前没有简单的机制来嗅探路由器的上游，尽管这可能是唯一的权威方式。我的私有网络上的操作系统包括 win10、mac 和 linux，并且我可以远程访问其他地方的多个 linux 主机。）

我的 ISP 的 dns 服务器是 75.75.75.75 和 75.75.76.76（如果有帮助的话）。

脚注：

1. 诊断报告。Google Nest Wifi 路由器有几个 API 端点，用于提供瞬时状态 (json) 和完整的诊断报告 (gzipped protobuf)。例子：

   http://testwifi.here/api/v1/status
   http://testwifi.here/api/v1/diagnostic-report
   

2. 前置. 查看诊断报告，它显示首先/etc/resolv.conf列出 8.8.8.8 和 8.8.4.4 ，其中一个父进程是。当前配置是（主要用于此测试）。dhcpcdshill --prepend-dns-servers=8.8.8.8,8.8.4.4Custom: 75.75.75.75, 75.75.76.76

3. 缓存。我相信 DNS 中没有禁用缓存结果的机制。https://serverfault.com/q/372066。

问：如何将命令行参数添加到固定的应用程序并使其仍然匹配？

我的习惯/工作流程有许多应用程序“固定”到 Windows 任务栏，所以这Win-#将“总是”将我切换到正确的窗口。

（我是 R 的 emacs/ess 用户，没有 RStudio。）如果我已经打开了一个绘图，那么Win-2将立即将我切换到绘图窗口。但是，如果绘图尚未完成，则按下Win-2将启动该应用程序的新实例。在这种情况下，图标属性为：

目标：C:\R\R-3.5.3\bin\x64\Rterm.exe

开始于：C:\R\R-3.5.3\bin\x64

快捷键：None

跑：Normal Window

我想设置它，以便Win-2在不存在绘图时无意按下不会启动Rterm. 一个缓解步骤可能是Rterm通过添加到目标来立即退出--help，但这样做会导致窗口名称匹配失败，并且任何后续打开的图都不会使用该任务栏位置。

有没有办法添加不会破坏标题匹配的参数？我从不打算用那个图标启动 R（总是在 emacs/ess 中），所以如果有办法让它永远不会启动应用程序（如果在其他地方创建就切换到它），那也很好。

（一个解决方案很可能是以 Windows 为中心的：我相信 R 对此没有控制或输入。）