1. 与Elasticsearch集成(核心数据存储)
Filebeat在Debian上的基础集成场景是将收集的日志发送至Elasticsearch,实现日志的集中存储与检索。配置时需修改/etc/filebeat/filebeat.yml,指定日志输入路径(如/var/log/*.log或/var/log/nginx/*.log)及Elasticsearch集群地址(如localhost:9200)。安装Elasticsearch后,通过curl -X GET "localhost:9200/_cat/indices?v"可验证数据是否成功传输。
2. 与Logstash集成(日志预处理)
当需要对日志进行过滤、解析(如提取字段、转换格式)时,Filebeat可与Logstash搭配使用。配置Filebeat将日志发送至Logstash的5044端口,同时在Logstash中配置beats输入插件接收数据,并通过grok等过滤器处理日志。这种组合适用于复杂日志处理场景,如解析Nginx访问日志中的IP、URL等信息。
3. 与Kibana集成(可视化分析)
Kibana作为Elastic Stack的可视化工具,可与Filebeat无缝集成,将日志数据转化为直观的图表、仪表盘。需先安装Kibana并配置其连接Elasticsearch(elasticsearch.hosts: ["http://localhost:9200"]),然后通过Kibana的“Discover”功能探索日志,或创建仪表盘监控特定指标(如失败登录次数、请求响应时间)。
4. 与Grafana集成(多源数据可视化)
Grafana支持Elasticsearch作为数据源,可与Filebeat集成实现跨系统日志可视化。安装Grafana后,添加Elasticsearch数据源(配置Elasticsearch地址),导入Filebeat生成的索引模式(如filebeat-*),即可创建仪表盘展示日志趋势、异常事件等。适用于需要将日志与其他监控数据(如服务器指标)结合的场景。
5. 与安全审计工具集成(安全事件监控)
Filebeat内置auditd模块,可收集Debian系统审计框架的日志(/var/log/audit/audit.log),或监控/var/log/auth.log(认证日志)、/var/log/secure(安全日志),并将数据发送至Elasticsearch或Logstash。结合Kibana可创建安全仪表盘,监控失败登录、权限变更、文件访问等安全事件,助力安全运维。
6. 监控特定应用日志(如NGINX、MySQL)
Filebeat可通过配置filebeat.inputs监控Debian上特定应用的日志文件,如NGINX的/var/log/nginx/access.log(访问日志)和error.log(错误日志)、MySQL的/var/log/mysql/error.log(错误日志)和slow_query.log(慢查询日志)。配置后,Filebeat会将这些日志发送至Elasticsearch或Logstash,帮助开发者快速定位应用问题(如请求延迟、SQL错误)。
