Filebeat日志传输CentOS怎么设置

一、安装Filebeat

1. 通过EPEL仓库安装（推荐）
   CentOS系统可通过EPEL仓库快速安装Filebeat，确保系统已启用EPEL仓库：

   sudo yum install epel-release
   sudo yum install filebeat
   

2. 手动下载RPM包安装
   若需指定版本，可从Elastic官网下载对应RPM包（如filebeat-7.14.0-x86_64.rpm），然后通过rpm命令安装：

   wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.14.0-x86_64.rpm
   sudo rpm -vi filebeat-7.14.0-x86_64.rpm
   

二、配置Filebeat核心参数 Filebeat的主配置文件位于/etc/filebeat/filebeat.yml，需重点修改以下部分：

1. 定义日志输入源（filebeat.inputs）
   启用log类型的输入，指定要监控的日志文件路径（支持通配符*）。例如，监控/var/log/messages、/var/log/secure及Nginx日志：

   filebeat.inputs:
   - type: log
     enabled: true
     paths:
       - /var/log/messages
       - /var/log/secure
       - /var/log/nginx/*.log
     exclude_files: ['\.gz$']  # 排除.gz压缩文件
   

2. 配置输出目标（output）
   • 输出到Elasticsearch（默认方式）
     指定Elasticsearch实例的地址（如localhost:9200），并设置动态索引名称（按日期分割）：

     output.elasticsearch:
       hosts: ["localhost:9200"]
       index: "filebeat-%{+yyyy.MM.dd}"
     

   • 输出到Logstash（需复杂处理时）
     若需通过Logstash进行日志过滤、增强，可将输出指向Logstash的TCP端口（如5044）：

     output.logstash:
       hosts: ["localhost:5044"]
     

3. 可选高级配置
   • 添加自定义字段：通过fields为日志事件添加业务标签（如app_id）：

     filebeat.inputs:
     - type: log
       enabled: true
       paths: ["/var/log/app/*.log"]
       fields:
         app_id: "my_web_app"
         env: "production"
       fields_under_root: true  # 将字段提升至事件顶层
     

   • 多行日志处理：针对Java/Python等应用的堆栈跟踪日志，合并多行为一条事件：

     filebeat.inputs:
     - type: log
       enabled: true
       paths: ["/var/log/java/*.log"]
       multiline:
         pattern: '^\d{4}-\d{2}-\d{2}'  # 匹配日志行首的日期格式
         negate: true                   # 反向匹配（非日期开头的行视为多行延续）
         match: after                   # 将延续行追加至上一行之后
     

三、启动与启用Filebeat服务

1. 启动Filebeat
   使用systemctl命令启动Filebeat服务：

   sudo systemctl start filebeat
   

2. 设置开机自启
   为确保系统重启后自动运行Filebeat，执行以下命令：

   sudo systemctl enable filebeat
   

3. 检查服务状态
   通过以下命令确认Filebeat是否运行正常：

   sudo systemctl status filebeat
   

四、验证日志传输

1. 查看Filebeat自身日志
   若传输过程中出现问题，可通过Filebeat的日志排查：

   sudo tail -f /var/log/filebeat/filebeat
   

2. 检查Elasticsearch索引
   登录Elasticsearch，执行以下命令查看是否存在filebeat-*索引（表示日志已成功接收）：

   curl -X GET "localhost:9200/_cat/indices?v"
   

3. 通过Kibana验证
   登录Kibana，在“Dev Tools”中执行以下命令，查看索引中的日志数据：

   GET /filebeat-*/_search
   {
     "query": {
       "match_all": {}
     }
   }
   

五、常见问题排查

• 权限问题：若Filebeat无法读取日志文件，需调整文件权限（如sudo chmod -R 644 /var/log/*.log）或以root用户运行Filebeat（不推荐）。
• 配置语法错误：修改filebeat.yml后，可通过filebeat test config -e命令测试配置是否正确。
• Elasticsearch连接失败：检查Elasticsearch服务是否启动（sudo systemctl status elasticsearch），并确认防火墙是否放行9200端口。