CentOS上Filebeat的安装步骤是什么

在 CentOS 上安装 Filebeat 的标准方式

• 准备环境并添加 Elastic 官方仓库（以 7.x 为例，如需 8.x 请将下文中的 7.x 替换为 8.x）：
  • 导入 GPG 公钥：sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
  • 添加 YUM 源：

    sudo tee /etc/yum.repos.d/filebeat.repo <<EOF
    [filebeat-7.x]
    name=Elastic repository for 7.x packages
    baseurl=https://artifacts.elastic.co/packages/7.x/yum
    gpgcheck=1
    gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
    enabled=1
    autorefresh=1
    type=rpm-md
    EOF
    

  • 更新缓存：sudo yum makecache
• 安装 Filebeat：sudo yum install -y filebeat
• 启动并设置开机自启：

  sudo systemctl daemon-reload
  sudo systemctl enable filebeat
  sudo systemctl start filebeat
  sudo systemctl status filebeat
  

• 验证安装：查看服务状态应为 active (running)，日志路径通常为 /var/log/filebeat/filebeat（若使用 RPM 安装）。

RPM 包安装与离线场景

• 直接下载并安装 RPM（适合无外网或内网仓库环境，版本号按需替换，例如 7.17.20）：

  wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.17.20-x86_64.rpm
  sudo rpm -ivh filebeat-7.17.20-x86_64.rpm
  sudo systemctl enable filebeat && sudo systemctl start filebeat
  

• 二进制 tar.gz 方式（便于快速试用或嵌入自定义目录，版本号按需替换）：

  wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.17.20-linux-x86_64.tar.gz
  sudo tar -xzf filebeat-7.17.20-linux-x86_64.tar.gz -C /opt/
  cd /opt/filebeat-7.17.20-linux-x86_64
  # 前台调试：./filebeat -e -c filebeat.yml
  # 后台运行：nohup ./filebeat -e -c filebeat.yml > filebeat.log 2>&1 &
  

• 说明：RPM 安装的服务单元为 filebeat.service，配置文件默认在 /etc/filebeat/filebeat.yml；tar.gz 方式需自行准备启动脚本或 systemd 单元。

最小可用配置与常见输出

• 编辑配置文件（RPM 默认路径为 /etc/filebeat/filebeat.yml）：
  • 采集系统日志并输出到控制台（调试用）：

    filebeat.inputs:
    - type: log
      enabled: true
      paths:
        - /var/log/*.log
    
    output.console:
      pretty: true
    

  • 采集系统日志并直写 Elasticsearch（将 hosts 替换为实际地址）：

    filebeat.inputs:
    - type: log
      enabled: true
      paths:
        - /var/log/*.log
    
    output.elasticsearch:
      hosts: ["http://192.0.2.10:9200"]
    

  • 采集系统日志并输出到 Logstash（将 hosts 替换为实际地址）：

    filebeat.inputs:
    - type: log
      enabled: true
      paths:
        - /var/log/*.log
    
    output.logstash:
      hosts: ["192.0.2.20:5044"]
    

• 校验配置并启动：

  sudo filebeat test config -c /etc/filebeat/filebeat.yml
  sudo systemctl restart filebeat
  

• 提示：YAML 中使用正则表达式时优先用单引号，避免转义问题；如需采集 JSON 日志，可启用 json.* 相关选项；多行堆栈需配置 multiline。更多输入/输出与参数详见官方配置说明与参考示例。

安全与运维要点

• 启用认证与 TLS（Elasticsearch 开启 X-Pack Security 时）：

  output.elasticsearch:
    hosts: ["https://es.example.com:9200"]
    username: "elastic"
    password: "YourPassword"
    ssl.certificate_authorities: ["/etc/pki/CA/certs/ca.crt"]
  

  修改后执行：sudo systemctl restart filebeat
• 常用运维命令：
  • 热加载模块配置：sudo filebeat modules enable system（按需启用如 system、nginx、redis 等模块）
  • 查看服务状态与日志：sudo systemctl status filebeat、sudo journalctl -u filebeat -f
  • 版本查看：filebeat version
• 注意：开启 tail_files: true 会从文件末尾开始读，若需重读历史，请先停止 Filebeat 并清理注册表文件（会丢失既往采集位点）。