Filebeat 是一个轻量级的日志收集器,用于将日志文件发送到 Elasticsearch 或 Logstash。在 Debian 上,Filebeat 的日志轮转可以通过配置 systemd 服务来实现。
以下是在 Debian 上为 Filebeat 设置日志轮转的步骤:
确保已经安装了 Filebeat。如果尚未安装,请参考官方文档:https://www.elastic.co/guide/en/beats/filebeat/current/install-debian.html
创建一个新的 systemd 服务文件,用于管理 Filebeat 的日志轮转。在 /etc/systemd/system/ 目录下创建一个名为 filebeat.service.d 的目录(如果尚不存在):
sudo mkdir -p /etc/systemd/system/filebeat.service.d
在 filebeat.service.d 目录中创建一个名为 override.conf 的文件:
sudo nano /etc/systemd/system/filebeat.service.d/override.conf
在 override.conf 文件中添加以下内容,以配置日志轮转:
[Service]
StandardOutput=journal
StandardError=journal
SyslogIdentifier=filebeat
Restart=on-failure
这将使 Filebeat 的日志输出到 systemd journal,而不是默认的文件。同时,当日志文件达到一定大小时,systemd 会自动进行轮转。
保存并关闭文件。
重新加载 systemd 配置以应用更改:
sudo systemctl daemon-reload
重启 Filebeat 服务以应用新的配置:
sudo systemctl restart filebeat
现在,Filebeat 的日志将自动轮转,当日志文件达到一定大小时,systemd 会自动创建新的日志文件并删除旧的日志文件。你可以通过以下命令查看 Filebeat 的日志:
sudo journalctl -u filebeat -f
要调整日志轮转的大小限制,请编辑 /etc/systemd/journald.conf 文件,修改 SystemMaxUse、SystemKeepFree、SystemMaxFileSize、SystemMaxFiles 等选项。然后重启 systemd-journald 服务:
sudo systemctl restart systemd-journald