filebeat如何与ubuntu集成

Filebeat与Ubuntu集成的完整步骤

1. 安装Filebeat

更新系统包列表：确保系统软件包信息最新，执行sudo apt update。
添加Elastic官方GPG密钥：导入Elastic的GPG密钥以验证软件包完整性，执行wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -。
添加Elastic官方APT仓库：将Elastic的APT仓库添加到系统源列表，指定版本（如7.x），执行echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list。
再次更新APT包列表：同步新添加的仓库信息，执行sudo apt update。
安装Filebeat：通过APT安装Filebeat，执行sudo apt install filebeat -y（-y参数自动确认安装）。

2. 配置Filebeat

启动并启用Filebeat服务：启动Filebeat守护进程并设置为开机自启，确保服务持续运行，执行sudo systemctl start filebeat和sudo systemctl enable filebeat。
编辑配置文件：Filebeat的主配置文件位于/etc/filebeat/filebeat.yml，使用文本编辑器（如nano）打开，执行sudo nano /etc/filebeat/filebeat.yml。
配置日志输入（核心设置）：在filebeat.inputs section中定义要收集的日志源，例如收集系统日志（syslog）和Apache日志（/var/log/apache2/*.log），示例如下：

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/syslog
    - /var/log/apache2/*.log

配置输出目标（关键步骤）：指定日志发送的目标，若发送到本地Elasticsearch，配置output.elasticsearch如下：

output.elasticsearch:
  hosts: ["localhost:9200"]
  index: "filebeat-%{
[agent.version]}
-%{
+yyyy.MM.dd}
"  # 按日期分割索引

启用预构建模块（可选但推荐）：Filebeat提供针对常见服务的预配置模块（如system、nginx、mysql），可简化配置。例如启用system模块（收集系统日志），执行sudo filebeat modules enable system，然后通过filebeat setup生成默认配置。
高级配置（按需调整）：根据需求优化配置，例如忽略72小时以上的旧文件（ignore_older: 72h）、排除错误行（exclude_lines: ['ERROR', 'WARN']）、添加云元数据处理器（processors: - add_cloud_metadata: ~）。

3. 验证集成

检查Filebeat服务状态：确认服务是否正常运行，执行sudo systemctl status filebeat，若显示“active (running)”则表示成功。
查看Filebeat实时日志：监控服务运行日志，排查潜在错误，执行sudo journalctl -u filebeat -f。
验证Elasticsearch数据：通过Elasticsearch的_search API检查是否收到Filebeat发送的日志，执行curl -X GET "localhost:9200/_search?pretty" -H 'Content-Type: application/json' -d'{ "query": { "match_all" : { } } } '，若返回包含日志数据的JSON结果，则表示集成成功。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！