Ubuntu系统使用Filebeat分析日志的完整流程

1. 安装Filebeat

首先更新系统包列表，然后导入Elastic官方GPG密钥并添加APT仓库，最后安装Filebeat：

sudo apt update && sudo apt upgrade -y
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
sudo apt update && sudo apt install filebeat -y

注意：若需安装其他版本，可将7.x替换为目标版本号（如8.x）。

2. 配置Filebeat

Filebeat的主配置文件位于/etc/filebeat/filebeat.yml，需修改以下核心部分：

2.1 配置输入源（Inputs）

指定要收集的日志文件路径，支持通配符（如*.log）。例如，收集系统日志（syslog、auth.log）和Apache日志：

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/syslog
    - /var/log/auth.log
    - /var/log/apache2/*.log
  ignore_older: 72h  # 忽略超过72小时的旧日志（可选）

2.2 配置输出目标（Outputs）

将日志发送到Elasticsearch（推荐）或Logstash：

• 输出到Elasticsearch（本地实例）：

  output.elasticsearch:
    hosts: ["localhost:9200"]
    index: "filebeat-%{[agent.version]}-%{+yyyy.MM.dd}"  # 按日期分割索引
  

• 输出到Logstash（需处理复杂日志）：

  output.logstash:
    hosts: ["localhost:5044"]
  

2.3 可选：启用预构建模块（简化配置）

Filebeat提供system、nginx、mysql等预构建模块，自动配置输入、解析规则和Kibana仪表板。例如，启用system模块：

sudo filebeat modules enable system

模块配置文件位于/etc/filebeat/modules.d/system.yml，可根据需求调整。

3. 启动与验证Filebeat

3.1 启动服务并设置开机自启

sudo systemctl start filebeat
sudo systemctl enable filebeat

3.2 检查服务状态

sudo systemctl status filebeat

若状态显示active (running)，则说明服务已启动。

3.3 查看Filebeat日志

通过日志排查配置错误：

sudo journalctl -u filebeat -f

3.4 验证数据是否发送到Elasticsearch

使用curl命令检查Elasticsearch中的索引：

curl -X GET "localhost:9200/_cat/indices?v"

若看到filebeat-*开头的索引，说明数据已成功发送。

4. 分析日志（通过Kibana）

4.1 安装并配置Kibana

若未安装Kibana，可通过以下命令安装：

sudo apt install kibana -y
sudo systemctl start kibana
sudo systemctl enable kibana

访问http://<服务器IP>:5601进入Kibana界面。

4.2 创建索引模式

1. 进入Kibana的Management > Index Patterns页面。
2. 点击“Create index pattern”，输入filebeat-*（匹配Filebeat创建的索引）。
3. 选择时间字段（如@timestamp），完成创建。

4.3 使用Discover探索日志

1. 进入Discover页面，选择刚创建的filebeat-*索引模式。
2. 通过左侧字段筛选日志（如message、status、clientip），或使用KQL（Kibana Query Language）查询（如status: 500查找500错误）。
3. 可自定义表格列、时间范围，或导出日志数据进行分析。

5. 高级配置（可选）

5.1 多行日志合并

若日志是多行的（如Java异常堆栈），需配置multiline选项。例如，合并以^[^\[]开头的行（非时间戳行）：

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/app/*.log
  multiline.pattern: '^[^\[]'
  multiline.negate: true
  multiline.match: after

5.2 JSON日志解析

若日志为JSON格式，可自动解析字段：

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/app/json.log
  json.keys_under_root: true  # 将JSON字段提升到根级别
  json.add_error_key: true    # 添加错误字段（解析失败时）

5.3 字段映射与处理器

通过processors对日志数据进行预处理（如删除敏感字段、重命名字段）：

processors:
- drop_fields:
    fields: ["password", "credit_card"]
- rename:
    fields:
      - from: "src_ip"
        to: "clientip"

将上述配置添加到filebeat.inputs对应的输入项中。

通过以上步骤，即可在Ubuntu系统上使用Filebeat完成日志收集、传输，并通过Kibana实现日志分析与可视化。