CentOS环境下Filebeat部署步骤

CentOS环境下Filebeat部署步骤

1. 安装前准备

• 更新系统：确保系统软件包为最新版本，避免兼容性问题。

  sudo yum update -y
  

• 安装必要工具：yum-utils 用于管理软件仓库。

  sudo yum install -y yum-utils
  

2. 添加Elastic官方YUM仓库

Elastic官方仓库提供最新的Filebeat版本，需先导入GPG密钥并添加仓库配置。

# 导入Elastic GPG密钥（验证软件包完整性）
sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch

# 创建Filebeat仓库文件
sudo tee /etc/yum.repos.d/filebeat.repo <<EOF
[filebeat]
name=Elasticsearch repository for Filebeat packages
baseurl=https://artifacts.elastic.co/packages/8.x/yum  # 根据需求选择版本（如7.x、8.x）
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md
EOF

3. 安装Filebeat

通过YUM仓库安装Filebeat（默认安装路径为/usr/share/filebeat）。

sudo yum install -y filebeat

4. 配置Filebeat

Filebeat的主配置文件为/etc/filebeat/filebeat.yml，需修改以下核心参数：

• 输入源配置：定义要监控的日志文件路径（支持通配符*）。
• 输出目标配置：指定日志发送的目标（如Elasticsearch、Logstash）。

基础配置示例（发送到本地Elasticsearch）：

# 启用日志输入（监控/var/log/*.log文件）
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log  # 可替换为具体路径（如/var/log/nginx/*.log）

# 输出到Elasticsearch（本地实例）
output.elasticsearch:
  hosts: ["localhost:9200"]  # 若Elasticsearch在远程服务器，替换为对应IP/域名
  # 若启用安全认证，需添加用户名/密码
  # username: "elastic"
  # password: "your_password"

# 可选：设置索引名称（按日期分割）
# setup.template.name: "filebeat"
# setup.template.pattern: "filebeat-*"

高级配置（可选）：

• 忽略旧文件（ignore_older: 72h）、排除特定行（exclude_lines: ['^DEBUG']）。
• 添加处理器（如add_fields添加自定义字段，grok解析日志格式）。

5. 启动并启用Filebeat服务

将Filebeat设置为系统服务，实现开机自启和后台运行。

# 重新加载Systemd配置（使新服务生效）
sudo systemctl daemon-reload

# 启动Filebeat服务
sudo systemctl start filebeat

# 设置开机自启
sudo systemctl enable filebeat

# 检查服务状态（确认运行正常）
sudo systemctl status filebeat

若状态显示为active (running)，则表示服务已成功启动。

6. 验证部署

• 查看Filebeat日志：实时监控日志输出，确认无报错。

  sudo journalctl -u filebeat -f
  

• 检查Elasticsearch索引：若输出到Elasticsearch，可通过以下命令查看是否创建了Filebeat索引。

  curl -X GET "localhost:9200/_cat/indices?v"  # 替换为Elasticsearch地址
  

  若看到类似filebeat-2025.11.05的索引，说明Filebeat已成功发送数据。

7. 可选：配置Kibana可视化

若需通过Kibana查看日志，需完成以下步骤：

• 安装并启动Kibana：

  sudo yum install -y kibana
  sudo systemctl start kibana
  sudo systemctl enable kibana
  

• 配置Kibana连接Elasticsearch：编辑/etc/kibana/kibana.yml，设置elasticsearch.hosts: ["http://localhost:9200"]。
• 访问Kibana：在浏览器输入http://<服务器IP>:5601，通过Dev Tools或Stack Management创建索引模式（如filebeat-*），即可查看日志数据。

注意事项

• 防火墙设置：若Elasticsearch/Kibana在远程服务器，需开放对应端口（如9200、5601）。

  sudo firewall-cmd --add-port=9200/tcp --permanent
  sudo firewall-cmd --reload
  

• SELinux配置：若启用SELinux，需调整策略允许Filebeat访问日志文件（如setenforce 0临时关闭，或配置正确上下文）。
• 版本兼容性：确保Filebeat版本与Elasticsearch、Kibana版本匹配（如Filebeat 8.x适配Elasticsearch 8.x）。