CentOS中Filebeat的监控策略

以下是CentOS中Filebeat的监控策略及配置要点：

1. 安装Filebeat
   通过官方仓库或手动下载安装包安装，如：

   sudo yum install filebeat -y  # CentOS 7/8  
   sudo rpm -ivh filebeat-*.rpm  # 手动安装  
   

2. 配置监控目标
   编辑/etc/filebeat/filebeat.yml，指定日志路径、文件类型及过滤规则：

   • 监控系统日志：

     filebeat.inputs:  
     - type: log  
       enabled: true  
       paths:  
         - /var/log/*.log  
         - /var/log/messages  
       ignore_older: 72h  # 忽略超过72小时的日志  
     

   • 监控特定应用日志：

     - type: log  
       paths:  
         - /var/log/nginx/access.log  
         - /var/log/nginx/error.log  
       exclude_files: ['\.gz$']  # 排除压缩文件  
     

3. 设置输出目标
   将日志发送至Elasticsearch或Logstash：

   • Elasticsearch：

     output.elasticsearch:  
       hosts: ["localhost:9200"]  
       index: "filebeat-%{yyyy.MM.dd}"  # 按日期动态生成索引  
     

   • Logstash：

     output.logstash:  
       hosts: ["localhost:5044"]  
     

4. 启用高级功能

   • 模块化监控：启用Nginx、MySQL等模块快速采集特定日志（需安装对应模块）：

     filebeat.modules:  
     - module: nginx  
       access:  
         enabled: true  
         var.paths: ["/var/log/nginx/access.log"]  
     

   • 日志过滤与处理：通过processors提取字段或过滤内容，如使用dissect解析日志格式。

5. 优化性能与可靠性

   • 调整日志级别：在filebeat.yml中设置logging.level（如info/debug），控制日志详细程度。
   • 配置文件轮转：通过logging.files参数设置日志文件大小、保留天数等。
   • 启用自动发现：监控容器或动态路径时，使用filebeat.autodiscover自动识别日志源。

6. 启动与验证

   sudo systemctl start filebeat  
   sudo systemctl enable filebeat  
   # 验证配置是否正确  
   sudo filebeat -e -c /etc/filebeat/filebeat.yml -d "publish"  
   # 查看日志输出  
   sudo tail -f /var/log/filebeat/filebeat.log  
   

7. 可视化与告警

   • 集成Kibana展示日志趋势、统计图表。
   • 通过Elasticsearch的告警规则（如Watcher）或对接第三方工具（如Slack）实现异常通知。

关键配置文件路径：

• 主配置文件：/etc/filebeat/filebeat.yml
• 日志文件：/var/log/filebeat/filebeat.log

参考来源：