Debian与Filebeat的网络配置

Debian 与 Filebeat 的网络配置

一、网络拓扑与端口规划

• 常见架构有两种：
  1. Filebeat → Elasticsearch：Filebeat 直接把事件写入 Elasticsearch（默认端口 9200）。
  2. Filebeat → Logstash → Elasticsearch：Filebeat 将事件发送到 Logstash（常用端口 5044），由 Logstash 做解析与增强后再写入 ES。
• 若启用 Kibana（端口 5601）做可视化，仅用于查看数据，不参与数据写入链路。
• 建议仅开放必要端口，并使用最小权限凭据与加密传输。

二、Debian 系统网络与防火墙

• 查看与启用防火墙（以 UFW 为例）：
  • 查看状态：sudo ufw status
  • 放行端口（按需）：
    • 直连 ES：sudo ufw allow 9200/tcp
    • 发送到 Logstash：sudo ufw allow 5044/tcp
    • 访问 Kibana：sudo ufw allow 5601/tcp
• 云服务器需同时放通云厂商安全组对应端口。

三、Filebeat 输出网络配置

• 输出到 Elasticsearch（示例）：
  • 配置要点：在 /etc/filebeat/filebeat.yml 中设置 output.elasticsearch.hosts 与认证信息。
  • 示例：
    • output.elasticsearch:
      • hosts: [“http://your_es_host:9200”]
      • username: “your_username”
      • password: “your_password”
• 输出到 Logstash（示例）：
  • 配置要点：将输出指向 Logstash 的 5044 端口。
  • 示例：
    • output.logstash:
      • hosts: [“logstash:5044”]
• 说明：Filebeat 本身不“监听”业务端口；5044 是 Filebeat 作为客户端连接 Logstash 的目标端口，不是 Filebeat 的监听端口。

四、启用网络相关模块与处理器

• 系统网络指标模块（system/network）：
  • 启用模块：sudo filebeat modules enable system
  • 按需编辑 /etc/filebeat/modules.d/system.yml，可开启 metrics.enabled: true 采集网络相关指标。
• 应用日志（如 Nginx 访问日志，反映网络访问）：
  • 启用模块：sudo filebeat modules enable nginx
  • 在 modules.d/nginx.yml 中确认日志路径与解析设置。
• 通用处理器增强：
  • 可在 filebeat.yml 中加入 processors: - add_cloud_metadata: 采集云环境元数据，便于多环境统一分析。

五、启动、验证与常见问题

• 启动与开机自启：
  • sudo systemctl start filebeat
  • sudo systemctl enable filebeat
• 状态与日志排查：
  • 服务状态：sudo systemctl status filebeat
  • 实时日志：sudo journalctl -u filebeat -f
• 常见排错要点：
  • 核对 Elasticsearch/Logstash 地址与端口可达性（如 curl http://your_es_host:9200）。
  • 若启用安全特性，确保 用户名/密码 正确；跨主机通信建议启用 TLS/SSL。
  • 防火墙与安全组规则已放行对应端口（如 9200/5044/5601）。