安装 Filebeat

发布于 更新于 评论

安装

Filebeat 版本

官方下载安装包

1
wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.17.6-linux-x86_64.tar.gz

解压并修改目录名称(为了简洁一些)

1
2
tar -xf filebeat-7.17.6-linux-x86_64.tar.gz
mv filebeat-7.17.6-linux-x86_64 filebeat-7.17.6

查看版本

1
2
./filebeat version
filebeat version 7.17.6 (amd64), libbeat 7.17.6 [121b2ab96f118e6999f0a4be8e98827a809337db built 2022-08-23 12:36:17 +0000 UTC]

修改配置文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
filebeat.inputs:
   - type: log
   # 开启此模块
   enabled: true
   # 日志路径, 可以多目录(不会递归子目录)
   paths:
        - /var/log/*.log

# 设置 elasticsearch 索引策略      
setup.template.name: "filebeat"
setup.template.pattern: "filebeat-*"
output.elasticsearch.index: "customname-%{[beat.version]}-%{+yyyy.MM.dd}"

# 如果你发送输出目录到Elasticsearch,那么设置IP地址和端口以便能够找到Elasticsearch:
output.elasticsearch:
   hosts: ["127.0.0.1:9200"]
   # 如果设置了安全策略,需要配置下认证信息
   username: "username"
   password: "password" 
   
# 如果你打算用Kibana仪表盘,可以这样配置Kibana端点:
setup.kibana:
   host: "localhost:5601"    
   # 如果设置了安全策略,需要配置下认证信息      
   username: "username"  
   password: "password"
   
# 加载不同的模板
setup.template.name: "your_template_name"
setup.template.fields: "path/to/fields.yml"

# 覆盖一个已存在的模板
setup.template.overwrite: true

# 覆盖一个已存在的模板
setup.template.overwrite: true

# 禁用自动加载模板
setup.template.enabled: false

检查配置文件 filebeat.yml 是否有效

1
./filebeat test config -c filebeat.yml

启动 filebeat

调试启动

1
2
./filebeat setup --dashboards
./filebeat -e -c filebeat.yml

后台启动

1
./filebeat -c filebeat.yml &

扩展

Docker 安装 Filebeat