Debian与Filebeat的网络配置
小樊
38
2025-11-22 05:42:19
Debian 与 Filebeat 的网络配置
一、网络拓扑与端口规划
- 常见架构有两种:
- Filebeat → Elasticsearch:Filebeat 直接把事件写入 Elasticsearch(默认端口 9200)。
- Filebeat → Logstash → Elasticsearch:Filebeat 将事件发送到 Logstash(常用端口 5044),由 Logstash 做解析与增强后再写入 ES。
- 若启用 Kibana(端口 5601)做可视化,仅用于查看数据,不参与数据写入链路。
- 建议仅开放必要端口,并使用最小权限凭据与加密传输。
二、Debian 系统网络与防火墙
- 查看与启用防火墙(以 UFW 为例):
- 查看状态:
sudo ufw status
- 放行端口(按需):
- 直连 ES:
sudo ufw allow 9200/tcp
- 发送到 Logstash:
sudo ufw allow 5044/tcp
- 访问 Kibana:
sudo ufw allow 5601/tcp
- 云服务器需同时放通云厂商安全组对应端口。
三、Filebeat 输出网络配置
- 输出到 Elasticsearch(示例):
- 配置要点:在 /etc/filebeat/filebeat.yml 中设置
output.elasticsearch.hosts 与认证信息。
- 示例:
- output.elasticsearch:
- hosts: [“http://your_es_host:9200”]
- username: “your_username”
- password: “your_password”
- 输出到 Logstash(示例):
- 配置要点:将输出指向 Logstash 的 5044 端口。
- 示例:
- 说明:Filebeat 本身不“监听”业务端口;5044 是 Filebeat 作为客户端连接 Logstash 的目标端口,不是 Filebeat 的监听端口。
四、启用网络相关模块与处理器
- 系统网络指标模块(system/network):
- 启用模块:
sudo filebeat modules enable system
- 按需编辑 /etc/filebeat/modules.d/system.yml,可开启
metrics.enabled: true 采集网络相关指标。
- 应用日志(如 Nginx 访问日志,反映网络访问):
- 启用模块:
sudo filebeat modules enable nginx
- 在 modules.d/nginx.yml 中确认日志路径与解析设置。
- 通用处理器增强:
- 可在 filebeat.yml 中加入
processors: - add_cloud_metadata: 采集云环境元数据,便于多环境统一分析。
五、启动、验证与常见问题
- 启动与开机自启:
sudo systemctl start filebeatsudo systemctl enable filebeat
- 状态与日志排查:
- 服务状态:
sudo systemctl status filebeat
- 实时日志:
sudo journalctl -u filebeat -f
- 常见排错要点:
- 核对 Elasticsearch/Logstash 地址与端口可达性(如
curl http://your_es_host:9200)。
- 若启用安全特性,确保 用户名/密码 正确;跨主机通信建议启用 TLS/SSL。
- 防火墙与安全组规则已放行对应端口(如 9200/5044/5601)。
