CentOS系统下Filebeat更新注意事项

升级前准备

• 核对版本兼容：确保 Filebeat 与目标 Elasticsearch/Kibana/Logstash 的版本匹配，避免跨主版本导致映射或处理器不兼容。升级前记录当前版本，升级后复核。
• 备份关键数据：优先备份 /etc/filebeat/filebeat.yml 与 /var/lib/filebeat（registry 状态），以便快速回滚。
• 选择维护窗口：在 非高峰时段 执行，先小范围灰度，再全量推进。
• 准备回滚方案：保留旧安装包或快照；异常时先恢复配置与数据目录，再回退二进制。

升级路径与操作要点

• 仓库升级（推荐）：启用并更新 EPEL，清理缓存后执行 yum update filebeat，随后重启服务并校验版本。
• 官方 RPM 升级：导入 Elastic GPG Key，配置官方 YUM 源，执行 yum install filebeat（已安装会自动升级），重启并校验。
• 手动升级：下载指定版本压缩包，解压至临时目录，先停服务，备份并替换二进制/配置，必要时迁移注册表目录，再启动并校验。
• 验证：使用 filebeat version 与服务状态检查，确认新版本运行正常。

配置与兼容性检查

• 配置语法与变更：跨小版本通常兼容，但重大版本可能调整参数或移除字段；升级后执行语法校验，按需合并变更。
• 废弃项与处理器：如 document_type 已在 6.x 后弃用，改用 fields；升级后检查 processors（如 dissect/json/drop_event）是否仍满足解析需求。
• 字段与模板：不同版本输出字段可能变化（例如 host 字段差异引发 Logstash 解析失败），需同步调整 Ingest Pipeline/索引模板 或 Logstash 过滤规则。
• 安全通信：若启用 TLS/SSL 与认证，核对证书路径、CA、用户名与密码是否正确。

回滚与验证

• 快速回滚：异常时先停止服务，恢复 /etc/filebeat/filebeat.yml 与 /var/lib/filebeat，再重启；必要时用旧版 RPM 重装并恢复数据目录。
• 数据一致性：如曾清理或迁移 registry（如 /data/registry），回滚后可能需要重新读取历史文件，避免丢数。
• 观测与告警：核对 systemctl status filebeat、Filebeat 自身日志与 Elasticsearch 写入是否正常，观察一段时间无异常再结束维护窗口。

常见坑位与规避

• 版本不匹配：Filebeat 与 Elasticsearch/Kibana/Logstash 版本不一致，易出现索引/模板/解析问题；升级前明确兼容矩阵。
• 配置误用：继续使用已废弃参数（如 document_type）或错误的 processors 顺序，导致字段缺失或解析失败；升级后按新版本文档修正。
• 注册表与重读：手动替换二进制或迁移目录时遗漏 registry，会导致重复采集或漏采；务必备份并妥善恢复。
• 安全配置遗漏：证书、CA、用户名或密码错误会使连接失败；升级后逐项复核输出配置。
• 仓库与缓存问题：未启用 EPEL 或未清理 YUM 缓存，可能导致安装/升级异常；按步骤启用仓库并清理缓存。