簡介
Filebeat是本地文件的日誌數據採集器,可監控日誌目錄或特定日誌文件(tail file),並將它們轉發給Elasticsearch或Logstatsh進行索引、kafka等。帶有內部模塊(auditd,Apache,Nginx,System和MySQL),可通過一個指定命令來簡化通用日誌格式的收集,解析和可視化。
安裝
1、下載
本人使用的是centos7.4,其他Linux版本也都大同小異
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.5.1-linux-x86_64.tar.gz
2、解壓
tar -zxvf filebeat-6.5.1-linux-x86_64.tar.gz
3、配置
解壓後,文件目錄下會產生一個配置文件filebeat.yml
vi filebeat.yml 打開
3.1、首先在輸入項部分filebeat inputs中將enabled由原來的false改爲true使之生效
然後將需要監控的日誌路徑添加到path:下面
3.2、接下來在輸出項配置中找到logstash
將運行logstash的目標服務器地址和端口放到hosts中,如果是本機則爲localhost
需要注意的是輸出配置中包含elasticsearch和logstash兩個配置,將不需要的註釋掉,否則會報錯
例如使用logstash則需要將es註釋 # output.elasticsearch
4、啓動filebeat
服務檯啓動 ./filebeat -e -c filebeat.yml
後臺啓動 nohup ./filebeat -e -c filebeat.yml > /dev/null &
啓動後會在30秒內檢索日誌文件並向logstash端口提交