Filebeat在CentOS环境下的应用案例分享

以下是Filebeat在CentOS环境下的应用案例分享，涵盖系统日志监控、实时分析及可视化等场景：

案例1：系统日志集中采集与分析

场景：某企业需对CentOS服务器的系统日志（如/var/log/messages、/var/log/secure）进行集中采集，分析登录异常及系统错误。
步骤：

1. 安装Filebeat：通过RPM包安装，配置/etc/filebeat/filebeat.yml指定监控路径为/var/log/*.log，输出至Elasticsearch。
2. 配置输出：设置output.elasticsearch指向本地Elasticsearch实例，索引按日期命名（如system-logs-%{+YYYY.MM.dd}）。
3. 启动服务：通过systemctl设置开机自启，验证日志是否成功发送至Elasticsearch。
4. 可视化分析：通过Kibana创建索引模式，查看登录失败、服务异常等日志趋势，快速定位问题。

案例2：应用日志实时监控与告警

场景：某Web应用需实时监控Nginx访问日志（/var/log/nginx/access.log），对异常请求（如404、500状态码）触发告警。
步骤：

1. 定制配置：在filebeat.yml中添加Nginx日志路径，使用processors提取状态码字段，过滤status: [404,500]的日志。
2. 集成告警：通过Elasticsearch的Watcher功能或第三方工具（如Prometheus），对匹配的日志触发邮件/短信告警。
3. 性能优化：设置close_inactive: 1m关闭非活跃文件句柄，减少资源占用。

案例3：容器化环境日志采集

场景：CentOS服务器运行Docker容器，需采集容器内应用日志（如/var/lib/docker/containers/*/*.log）。
步骤：

1. 启用自动发现：在filebeat.yml中配置autodiscover，指定Kubernetes或Docker提供程序，自动识别容器日志路径。
2. 添加元数据：通过add_host_metadata和add_cloud_metadata处理器，标注日志来源的主机及云环境信息。
3. 输出至Logstash：将处理后的日志发送至Logstash进行解析，再存入Elasticsearch，支持复杂日志格式转换。

案例4：安全合规日志审计

场景：满足等保要求，需长期保存CentOS服务器的登录日志（/var/log/secure）并支持快速检索。
步骤：

1. 长期存储配置：设置output.elasticsearch的ilm.enabled: true，启用索引生命周期管理，自动归档旧日志至冷存储。
2. 字段提取：通过dissect或grok处理器解析日志中的IP、用户、操作类型等字段，便于合规审计。
3. 权限控制：通过防火墙限制Elasticsearch端口访问，仅允许特定IP查询日志。

注意事项

• 性能调优：根据日志量调整scan_frequency（扫描频率）和bulk_max_size（批量发送大小），避免资源占用过高。
• 安全加密：启用SSL/TLS加密传输（ssl.enabled: true），保护日志数据在传输过程中的安全。

以上案例可根据实际需求调整配置，Filebeat的轻量化和灵活性使其成为CentOS环境下日志管理的理想选择1-8。