Filebeat在CentOS上如何部署

一、安装前准备

1. 更新系统：运行sudo yum update -y确保CentOS系统为最新版本，避免兼容性问题。
2. 安装必要工具：执行sudo yum install -y yum-utils安装包管理辅助工具，便于后续操作。

二、下载并解压Filebeat

1. 下载安装包：从Elastic官方网站下载适用于CentOS的Filebeat压缩包（选择与系统架构匹配的版本，如linux-x86_64），例如：
   wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-8.12.0-linux-x86_64.tar.gz。
2. 解压到指定目录：使用tar命令解压文件到/opt目录（便于系统管理）：
   sudo tar -xzf filebeat-8.12.0-linux-x86_64.tar.gz -C /opt/。

三、配置Filebeat

1. 进入配置目录：切换到解压后的Filebeat目录：
   cd /opt/filebeat-8.12.0-linux-x86_64。
2. 编辑主配置文件：使用文本编辑器（如vi）修改filebeat.yml，核心配置项如下：
   • 输入源配置：启用log类型输入，指定要监控的日志路径（如/var/log/*.log表示监控/var/log下所有.log文件）：

     filebeat.inputs:
     - type: log
       enabled: true
       paths:
         - /var/log/*.log
     

   • 输出目标配置：将日志发送到Elasticsearch（本地实例用localhost:9200，远程实例替换为对应IP/域名）：

     output.elasticsearch:
       hosts: ["localhost:9200"]
     

   • 可选：Kibana配置（如需通过Kibana管理Filebeat）：添加setup.kibana部分，指定Kibana地址：

     setup.kibana:
       host: "localhost:5601"
     

   • 可选：索引模板配置（优化索引存储）：设置索引名称、分片数、压缩方式：

     output.elasticsearch:
       index: "filebeat-%{[agent.version]}-%{+yyyy.MM.dd}"
     setup.template:
       name: "filebeat"
       pattern: "filebeat-*"
       settings:
         index.number_of_shards: 3
         index.codec: best_compression
     ```。  
     
     

四、设置开机自启动

1. 创建Systemd服务文件：使用vi创建/etc/systemd/system/filebeat.service文件，内容如下：

   [Unit]
   Description=Filebeat
   Wants=network-online.target
   After=network-online.target
   
   [Service]
   User=root
   Group=root
   ExecStart=/opt/filebeat-8.12.0-linux-x86_64/filebeat -e -c /opt/filebeat-8.12.0-linux-x86_64/filebeat.yml
   Restart=always
   
   [Install]
   WantedBy=multi-user.target
   

   注：ExecStart路径需与解压后的Filebeat目录一致。

2. 重载Systemd配置：执行sudo systemctl daemon-reload使新服务文件生效。
3. 启用并启动服务：
   • 启用开机自启动：sudo systemctl enable filebeat
   • 立即启动服务：sudo systemctl start filebeat。

五、验证部署

1. 检查服务状态：运行sudo systemctl status filebeat，若显示“active (running)”则表示服务启动成功。
2. 查看实时日志：使用sudo tail -f /var/log/filebeat/filebeat查看Filebeat运行日志，确认无报错。
3. 验证数据发送：登录Elasticsearch，执行GET _cat/indices?v，若看到以filebeat-开头的索引（如filebeat-8.12.0-2025.11.09），则说明Filebeat已成功将日志发送到Elasticsearch。

六、常见问题解决

1. 配置文件校验：若启动时报错“Error loading config file”，可使用filebeat test config -e命令测试配置文件语法是否正确。
2. 权限问题：确保/opt/filebeat-*/目录及filebeat.yml文件的权限正确（建议chmod -R 755 /opt/filebeat-*）。
3. 日志轮换处理：若日志文件轮换（如*.log被压缩为*.log.gz），需在filebeat.inputs中添加exclude_files: ['\.gz$']，避免重复采集。