Filebeat 参考指南(第2步:配置Filebeat)

kebochina 2019-09-05

第2步:配置Filebeat

Filebeat模块为常见的日志格式提供了最快的入门体验,如果你使用的是Filebeat模块,请跳过本节,包括剩余的入门步骤,并直接转到快速入门:常用日志格式的模块。

要配置Filebeat,请编辑配置文件,默认配置文件名为filebeat.yml,文件的位置因平台而异,要找到该文件,请参阅目录布局。

还有一个名为filebeat.reference.yml的完整示例配置文件,它显示了所有未弃用的选项。

以下是filebeat.yml文件的filebeat部分示例,Filebeat使用大多数配置选项的预定义默认值。

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log
    #- c:\programdata\elasticsearch\logs\*

要配置Filebeat:

定义日志文件的路径,对于最基本的Filebeat配置,你可以使用单个路径定义单个输入,例如:

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log

此示例中的输入收集路径/var/log/*.log中的所有文件,这意味着Filebeat将收集目录/var/log/中以.log结尾的所有文件,此处还支持Go Glob支持的所有模式。

要从预定义级别的子目录中获取所有文件,可以使用以下模式:/var/log/*/*.log,这将从/var/log的子文件夹中获取所有.log文件。它不从/var/log文件夹本身获取日志文件,目前,无法以递归方式获取目录的所有子目录中的所有文件。

配置输出,Filebeat支持各种输出,但通常你可以将事件直接发送到Elasticsearch,也可以发送到Logstash以进行其他处理。

要将输出直接发送到Elasticsearch(不使用Logstash),请设置Elasticsearch安装的位置:

  • 如果你在Elastic Cloud上运行托管的Elasticsearch Service,请指定你的Cloud ID,例如:

    cloud.id: "staging:dXMtZWFzdC0xLmF3cy5mb3VuZC5pbyRjZWM2ZjI2MWE3NGJmMjRjZTMzYmI4ODExYjg0Mjk0ZiRjNmMyY2E2ZDA0MjI0OWFmMGNjN2Q3YTllOTYyNTc0Mw=="
  • 如果你在自己的硬件上运行Elasticsearch,请设置Filebeat可以找到Elasticsearch安装的主机和端口,例如:

    output.elasticsearch:
     hosts: ["myEShost:9200"]

要将输出发送到Logstash,请改为配置Logstash输出,对于所有其他输出,请参阅配置输出。

如果你计划使用随Filebeat提供的示例Kibana仪表板,请配置Kibana端点。

如果Kibana与Elasticsearch在同一主机上运行,​​则可以跳过此步骤。

setup.kibana:
  host: "mykibanahost:5601"
运行Kibana的计算机的主机名和端口,例如mykibanahost:5601,如果在端口号后面指定路径,请包括路径和端口:http://mykibanahost:5601/path

如果Elasticsearch和Kibana是安全的,请在运行设置和启动Filebeat的命令之前在filebeat.yml配置文件中设置凭据。

  • 如果你在Elastic Cloud上运行托管的Elasticsearch Service,请指定你的云身份验证凭据,例如:

    cloud.auth: "elastic:YOUR_PASSWORD"
  • 如果你在自己的硬件上运行Elasticsearch,请指定Elasticsearch和Kibana凭据:

    output.elasticsearch:
     hosts: ["myEShost:9200"]
     username: "filebeat_internal"
     password: "YOUR_PASSWORD" 
    setup.kibana:
     host: "mykibanahost:5601"
     username: "my_kibana_user"  
     password: "YOUR_PASSWORD"
要测试配置文件,请转到安装Filebeat二进制文件的目录,然后使用指定的以下选项在前台运行:./filebeat test config -e,确保配置文件位于Filebeat所需的路径中(请参阅目录布局),或使用-c标志指定配置文件的路径。

在启动Filebeat之前,你应该查看配置文件中的配置选项,有关这些选项的更多信息,请参阅配置Filebeat。

从Filebeat 6.5开始,你可以在Kibana的中心位置定义和管理Filebeat配置。有关更多信息,请参阅Beats中央管理,有关更多信息,请参阅Beats中央管理。

上一篇:第1步:安装Filebeat

相关推荐