我来帮你梳理几个关键的排查方向，一步步来定位问题：

• 先解决最容易忽略的挂载问题
  你当前的docker run命令只挂载了配置文件，但没有把宿主机的/var/log目录挂载到容器里！容器内部的/var/log/syslog是它自己的日志文件，不是宿主机的。赶紧调整启动命令，加上日志目录的挂载：

  sudo docker run -v /etc/filebeat/filebeat.yml:/usr/share/filebeat/filebeat.yml -v /var/log:/var/log docker.elastic.co/beats/filebeat:7.4.2
  

  另外还要注意宿主机上syslog和auth.log的权限，容器里的Filebeat进程可能没有读取权限。可以临时给文件加其他用户可读权限测试：

  sudo chmod o+r /var/log/syslog /var/log/auth.log
  

  如果这样能正常转发，再考虑把Filebeat用户加入到宿主机的adm组（因为系统日志通常属于这个组）来做更合理的权限配置。

• 检查容器到Logstash的网络连通性
  你配置里写的localhost:5044在容器里指的是容器本身，不是宿主机！如果Logstash是跑在宿主机或者另一个容器里，Filebeat容器根本连不上。
  先进入Filebeat容器测试连通性：

  # 替换成你的Filebeat容器ID
  sudo docker exec -it <container_id> /bin/bash
  # 把<target_ip>换成宿主机IP或者Logstash容器的IP/容器名（如果在同一个Docker网络）
  telnet <target_ip> 5044
  

  如果不通，要么把Logstash的5044端口映射到宿主机，然后Filebeat配置里用宿主机IP；要么把Filebeat加入到Logstash所在的Docker网络，直接用Logstash的容器名作为地址（比如logstash:5044）。

• 验证Filebeat配置的有效性
  YAML配置对缩进要求很严格，可能你的配置有语法错误但容器没报错。在容器里运行配置检查命令：

  sudo docker exec <container_id> filebeat test config -c /usr/share/filebeat/filebeat.yml
  

  如果有错误，会直接提示哪里出问题，比如缩进不对、字段写错。另外，7.x版本的Filebeat配置里，document_type已经被fields或者tags替代了，虽然旧版本兼容，但建议换成更规范的写法：

  filebeat.inputs:
    - paths:
        - /var/log/syslog
        - /var/log/auth.log
      fields:
        type: syslog
  

• 查看Filebeat容器的日志
  容器“正常运行”不代表内部没有错误，查看日志能找到关键线索：

  sudo docker logs <container_id>
  

  日志里可能会出现“无法读取文件”“连接Logstash超时”“权限不足”这类明确的错误提示，跟着提示修复就好。

• 确认Logstash的输入配置没问题
  要确保Logstash已经配置了beats输入插件监听5044端口，比如你的Logstash配置文件里要有类似这样的内容：

  input {
    beats {
      port => 5044
      # 如果需要可以加其他配置，比如TLS
    }
  }
  

  同时检查宿主机的防火墙/安全组有没有放行5044端口，用netstat -tulpn | grep 5044确认端口处于监听状态。

• 用Filebeat自带命令测试输出
  直接测试输出连通性，快速定位是否是输出环节的问题：

  sudo docker exec <container_id> filebeat test output -c /usr/share/filebeat/filebeat.yml
  

  如果连接失败，命令会给出具体原因，比如“connection refused”“certificate verification failed”等，针对性解决即可。

内容的提问来源于stack exchange，提问作者tortillla