如何使用Filebeat采集系统日志 - 问答

使用Filebeat采集系统日志步骤如下：

安装Filebeat
- Debian/Ubuntu系统：sudo apt-get update && sudo apt-get install filebeat
- CentOS/RHEL系统：sudo yum install filebeat
配置Filebeat
- 编辑配置文件 /etc/filebeat/filebeat.yml：
  - 指定日志路径：在 filebeat.inputs 中添加 paths，如 - /var/log/*.log。
  - 设置输出目标：选择 output.elasticsearch（发送到Elasticsearch）或 output.logstash（发送到Logstash），并配置地址，例如：
```
output.elasticsearch:
  hosts: ["localhost:9200"]
```。  
```
- 可选高级配置：
  - 多行日志处理：添加 multiline 配置。
  - 日志过滤/解析：使用 processors（如 dissect 解析非JSON日志）。
启动并验证
- 启动服务：sudo systemctl start filebeat。
- 设置开机自启：sudo systemctl enable filebeat。
- 查看日志验证：sudo tail -f /var/log/filebeat/filebeat.log。

说明：配置文件中 paths 可根据实际需求调整，如监控特定日志文件（如 /var/log/syslog）或排除某些文件（如 exclude_files: [".gz$"]）。如需更复杂功能（如Kafka输出、索引模板），可参考官方文档扩展配置。

0 赞

0 踩