filebeat在ubuntu上如何进行数据采集 - 问答

在Ubuntu上进行Filebeat数据采集步骤如下：

安装Filebeat

使用APT安装：

sudo apt update  
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -  
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list  
sudo apt install filebeat

（可选）使用Snap安装：
```
sudo snap install filebeat --classic  
```

配置数据采集

编辑配置文件 /etc/filebeat/filebeat.yml：
```
sudo nano /etc/filebeat/filebeat.yml  
```

指定日志路径（示例为系统日志）：

filebeat.inputs:  
- type: log  
  enabled: true  
  paths:  
    - /var/log/syslog  
    - /var/log/*.log  # 支持通配符

可选配置：
- 排除文件：exclude_files: ['.gz$']
- 添加处理器（如元数据）：
```
processors:  
- add_cloud_metadata: ~  
- add_host_metadata: ~  
```

配置输出目标

输出到Elasticsearch（需提前部署ES）：

output.elasticsearch:  
  hosts: ["localhost:9200"]  
  index: "filebeat-%{+yyyy.MM.dd}"

输出到Logstash（需配置Logstash）：

output.logstash:  
  hosts: ["localhost:5044"]

启动并验证

启动服务并设置开机自启：

sudo systemctl start filebeat  
sudo systemctl enable filebeat

检查状态：
```
sudo systemctl status filebeat  
```

查看日志确认采集：

sudo tail -f /var/log/filebeat/filebeat

若输出到Elasticsearch，可通过Kibana或curl查看索引数据：
```
curl -X GET "localhost:9200/_cat/indices?v"  
```

说明：根据实际需求调整日志路径、输出目标及处理器配置，复杂场景可参考官方模块（如system模块）或自定义模块。

0 赞

0 踩