在 Ubuntu 上安装 Filebeat 的标准步骤
一 准备与版本选择
- 确认系统为 Ubuntu LTS(如 20.04、22.04、24.04),并保持 APT 索引与系统更新为最新。
- 选择与你的 Elastic Stack 版本一致的 Filebeat 主版本(如 7.x 或 8.x),避免跨大版本混用。
- 规划输出目标:常见为 Elasticsearch、Logstash 或 Kafka 等,提前准备访问地址与认证信息(如有)。
二 安装方式
三 快速配置与验证
- 启用模块与初始化(示例:系统日志)
sudo filebeat modules enable system
sudo filebeat setup -e
- 编辑主配置 /etc/filebeat/filebeat.yml(示例:输出到本机 Elasticsearch)
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/syslog
- /var/log/*.log
output.elasticsearch:
hosts: [“http://localhost:9200”]
- 重启生效
sudo systemctl restart filebeat
- 查看服务与日志
sudo systemctl status filebeat
sudo journalctl -u filebeat -f
- 验证数据是否写入 ES
curl -X GET “localhost:9200/_cat/indices?v”
curl -X GET “localhost:9200/filebeat-*/_search?pretty” -H ‘Content-Type: application/json’ -d ‘{ “query”: { “match_all”: {} } }’
四 常见问题与排查
- 服务无法启动:检查 /etc/filebeat/filebeat.yml 的 YAML 缩进与语法;查看日志 journalctl -u filebeat -f;必要时用 filebeat test config/test output 做配置与输出自检。
- 无法连接 Elasticsearch/Logstash:核对 hosts、端口与协议(HTTP/HTTPS)、网络连通性与防火墙;若启用安全认证,确保用户名与密码正确。
- 权限问题:确保 Filebeat 对日志文件具备读取权限(如 /var/log/ 下的文件与目录)。
- 版本不匹配:Elasticsearch、Logstash、Kibana 与 Filebeat 的 主版本号需一致,避免兼容性问题。
