Filebeat 是一个轻量级的日志收集器,用于将日志文件或日志流发送到 Elasticsearch 或 Logstash。在 CentOS 上配置 Filebeat 监控文件变化的方法如下:
首先,确保已经安装了 Elasticsearch 和 Logstash。然后,通过以下命令安装 Filebeat:
sudo yum install epel-release
sudo yum install filebeat
安装完成后,Filebeat 的配置文件位于 /etc/filebeat/filebeat.yml。使用文本编辑器打开配置文件:
sudo vi /etc/filebeat/filebeat.yml
在 filebeat.yml 配置文件中,找到 filebeat.inputs 部分,添加一个新的 files 输入,指定要监控的文件或目录。例如,要监控 /var/log/myapp/*.log 文件,可以添加以下配置:
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/myapp/*.log
如果要监控整个目录,可以使用通配符 *:
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/myapp/*.log
- /var/log/myapp/*.log.*
Filebeat 可以检测到日志文件的滚动更新,并自动发送新的日志内容。在 filebeat.yml 配置文件中,找到 setup.template.settings 部分,设置 index.number_of_shards 和 index.codec 参数:
setup.template.settings:
index.number_of_shards: 3
index.codec: best_compression
配置完成后,启动 Filebeat 服务:
sudo systemctl start filebeat
使用以下命令查看 Filebeat 的状态:
sudo systemctl status filebeat
现在,Filebeat 已经开始监控指定的文件或目录,并将日志发送到 Elasticsearch 或 Logstash。如果需要查看 Filebeat 的日志,可以查看 /var/log/filebeat/filebeat 文件:
sudo tail -f /var/log/filebeat/filebeat
