Filebeat 是一个轻量级的日志收集器,用于将日志数据从多个源发送到如 Elasticsearch 或 Logstash 等中央存储库。在 CentOS 上配置 Filebeat 时,你需要编辑其配置文件,通常位于 /etc/filebeat/filebeat.yml。
以下是 Filebeat 配置文件的一些关键部分的解析:
filebeat.inputs: 这个部分定义了 Filebeat 应该监视哪些文件或目录。例如,你可以指定一个或多个日志文件的路径,Filebeat 将读取这些文件并将新行发送到输出模块。
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log
- /var/log/myapp/*.log
filebeat.modules: 这个部分允许你启用和配置 Filebeat 的模块。模块是预定义的配置集合,可以简化特定类型日志的收集和处理。
filebeat.modules:
path: ${config.home}/modules.d/*.yml
reload.enabled: false
output.elasticsearch: 这个部分定义了 Filebeat 应该将日志数据发送到哪个 Elasticsearch 实例。
output.elasticsearch:
hosts: ["localhost:9200"]
index: "filebeat-%{[agent.version]}-%{+yyyy.MM.dd}"
setup.template.settings: 这个部分允许你自定义 Elasticsearch 索引模板设置。
setup.template.settings:
index.number_of_shards: 3
index.codec: best_compression
setup.template.name: 这个部分定义了由 Filebeat 创建的索引模板的名称。
setup.template.name: "filebeat"
setup.template.pattern: 这个部分定义了由 Filebeat 创建的索引的模式。
setup.template.pattern: "filebeat-*"
xpack.monitoring.collection.enabled: 如果你启用了 X-Pack 监控,这个部分可以用来启用或禁用特定类型的指标收集。
xpack.monitoring.collection.enabled: true
这些只是 Filebeat 配置文件中的一些基本元素。配置文件可以根据你的具体需求进行调整,例如添加处理器(processors)来修改事件数据,或者配置日志文件的滚动更新等。
在修改配置文件后,你需要重启 Filebeat 服务以使更改生效:
sudo systemctl restart filebeat
请注意,上述配置示例可能需要根据你的实际环境和需求进行调整。始终确保在生产环境中使用最新的配置选项和安全设置。