如何在Ubuntu上安装Filebeat

在Ubuntu上安装Filebeat的步骤

1. 安装前准备

在开始安装前，确保系统已更新至最新版本，以避免依赖冲突：

sudo apt update &
    &
 sudo apt upgrade -y

2. 添加Elastic官方GPG密钥

为确保软件包来源可信，需导入Elastic官方GPG密钥：

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -

若系统提示apt-key已弃用，可忽略此警告（Elastic仍推荐此方式）。

3. 添加Elastic官方APT仓库

根据需求选择Filebeat版本（以7.x为例），添加对应的APT仓库：

echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list

若需使用更高版本（如8.x），需将仓库地址中的7.x替换为对应版本号。

4. 安装Filebeat

更新本地APT包列表并安装Filebeat：

sudo apt update
sudo apt install filebeat -y

5. 配置Filebeat

5.1 启用默认模块（可选但推荐）

Filebeat自带常用日志模块（如系统日志、Nginx、Apache等），可快速生成基础配置：

sudo filebeat modules enable system  # 启用系统日志模块
# sudo filebeat modules enable nginx  # 如需Nginx日志，取消注释并启用

5.2 编辑主配置文件

使用文本编辑器（如nano）打开Filebeat主配置文件：

sudo nano /etc/filebeat/filebeat.yml

基础配置示例（收集系统日志并发送至本地Elasticsearch）：

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/syslog
    - /var/log/*.log  # 可根据需求调整日志路径

output.elasticsearch:
  hosts: ["localhost:9200"]  # 若Elasticsearch在远程服务器，替换为对应IP/域名
  index: "filebeat-%{
[agent.version]}
-%{
+yyyy.MM.dd}
    "  # 索引命名规则

高级配置选项（按需添加）：

• 忽略旧日志（避免处理历史数据）：

  filebeat.inputs.ignore_older: 72h  # 忽略超过72小时的日志
  

• 排除特定行（如错误日志中的敏感信息）：

  filebeat.inputs.exclude_lines: ["ERROR", "WARN"]  # 排除包含ERROR或WARN的行
  

• 添加云元数据（自动收集实例ID、区域等信息，便于Elasticsearch索引）：

  processors:
    - add_cloud_metadata: ~  # 启用云元数据处理器
  

6. 启动并启用Filebeat服务

配置完成后，启动Filebeat服务并设置为开机自启：

sudo systemctl start filebeat
sudo systemctl enable filebeat

7. 验证安装与运行状态

7.1 检查服务状态

确认Filebeat是否正常运行：

sudo systemctl status filebeat

若显示active (running)，则表示服务已启动。

7.2 查看实时日志

通过journalctl查看Filebeat的实时日志，排查潜在错误：

sudo journalctl -u filebeat -f

7.3 验证数据发送

• 若输出到Elasticsearch：通过curl命令检查Elasticsearch中是否存在Filebeat创建的索引：

  curl -X GET "localhost:9200/_cat/indices?v"
  

  若看到类似filebeat-8.12.0-2025.11.03的索引，说明数据已成功发送。

• 若输出到Logstash：查看Logstash日志（默认路径/var/log/logstash/logstash-plain.log），确认是否有来自Filebeat的事件。

注意事项

• 权限问题：确保Filebeat有权限读取目标日志文件（可通过chmod或chown调整权限）。
• 版本兼容性：若使用Elasticsearch 8.x，需将APT仓库地址中的7.x替换为8.x，并调整GPG密钥（Elasticsearch 8.x的密钥地址为https://artifacts.elastic.co/GPG-KEY-elasticsearch，与7.x一致，但需确认最新版本）。
• 防火墙设置：若Elasticsearch位于远程服务器，需确保防火墙允许9200端口（或自定义端口）的入站连接。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！