ELK_filebeat

注意：路径的最后 一个不能 用完全 用 * 代替所有，必须有
一个相对的匹配或者绝对的匹配。
同样的，上 面的 方式，只会匹配到 /var/log 目录下的每个 子 目录下所有以.log 结尾的所有 日志 文件，但是不不会匹配到/var/log 目录下的任何 日志 文件。

服务器时间update,更新两台服务器时间保持一致

yum install -y ntp
ntp.tuna.tsinghua.edu.cn

INPUT

input有两种抓取日志，一种是使用内置模块,一种是指定日志文件

filebeat.config.modules:
  # Glob pattern for configuration loading
  path: /usr/share/filebeat/modules.d/*.yml

  # Set to true to enable config reloading
  reload.enabled: true  # 实时更新

将filebeat.yml同级的modules.d下的文件的后缀名去掉,变为*.yml

filebeat.yaml
指定日志文件

  ## 抓取日志文件操作
  filebeat.inputs:
  - type: log
    enabled: true
    paths:
      - /var/log/*.log  # 抓取文件路径
  ## 多文件添加可以在paths:后面增加
    paths:
      - /var/log/*.log
      - /var/log/nginx/access.log

OUTPUT

输出到ES

output.elasticsearch:
  hosts: ["elk-1:9200"]   ## 输出到es
  # 多台es，更改为host: ["IP-1:9200","IP-2:9200"]

输出到logstash

output.logstash:
  hosts: ["logstash:5044"]

输出到kafaka

output.kafka:
  hosts: ["elk-1:9092"]
  topic: "filebeat"
  codec.json:
    pretty: false

安全验证

了解更多

filebeat 服务日志格式配置

vim 修改 /etc/filebeat/filebeat.yml

# 在 #logging.level: debug 后面添加
logging.level: info # 日志级别 
logging.to_files: true
logging.files:
  path: /var/log/filebeat
  name: filebeat
  keepfiles: 7
  permissions: 0644

测试配置文件

filebeat test config -c filebeat.yml