如何用Ubuntu Filebeat收集系统日志

以下是在Ubuntu上使用Filebeat收集系统日志的步骤：

1. 安装Filebeat

   sudo apt update && sudo apt install filebeat  
   

2. 配置Filebeat
   编辑配置文件 /etc/filebeat/filebeat.yml，添加系统日志路径：

   filebeat.inputs:  
   - type: log  
     enabled: true  
     paths:  
       - /var/log/syslog  
       - /var/log/*.log  # 可根据需求添加其他日志路径  
     exclude_files: [".gz$"]  # 可选：排除压缩文件  
   
   output.elasticsearch:  
     hosts: ["localhost:9200"]  # 输出到Elasticsearch，需提前安装并运行ES  
     index: "syslog-%{+yyyy.MM.dd}"  # 索引格式  
   

3. 启动并启用服务

   sudo systemctl start filebeat  
   sudo systemctl enable filebeat  
   

4. 验证配置

   • 查看Filebeat服务状态：

     sudo systemctl status filebeat  
     

   • 查看Filebeat日志：

     sudo journalctl -u filebeat -f  
     

   • 检查Elasticsearch中是否生成索引：

     curl -X GET "localhost:9200/_cat/indices?v"  
     

可选优化：

• 多行日志处理：在输入配置中添加 multiline 参数。
• 排除特定文件：通过 exclude_files 过滤无需采集的日志。
• 启用模块简化配置：如使用 system 模块自动采集系统日志。

更多细节可参考Filebeat官方文档。