1. 安装Filebeat
在Debian系统上,推荐通过Elastic官方APT仓库安装Filebeat(确保软件包版本与Elastic Stack兼容)。首先添加仓库密钥和源:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-7.x.list
更新APT包列表并安装Filebeat:
sudo apt-get update && sudo apt-get install filebeat
若需通过Snap安装(适用于Debian 18.04及以上版本),可执行:
sudo apt-get install snapd
sudo snap install filebeat --classic
2. 配置Filebeat监控系统日志
Filebeat的核心配置文件位于/etc/filebeat/filebeat.yml,需修改以下关键部分:
filebeat.inputs配置监控的日志文件路径。例如,监控系统默认日志目录(/var/log/*.log)或特定应用日志(如/var/log/syslog、/var/log/auth.log):filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log
- /var/log/syslog
- /var/log/auth.log
output.elasticsearch:
hosts: ["localhost:9200"]
index: "filebeat-%{[agent.version]}-%{+yyyy.MM.dd}" # 按日期分割索引
ignore_older: 72h
3. 启动并验证Filebeat服务
配置完成后,启动Filebeat服务并设置为开机自启:
sudo systemctl start filebeat
sudo systemctl enable filebeat
检查服务状态,确认运行正常:
sudo systemctl status filebeat
查看Filebeat日志,排查潜在错误:
sudo journalctl -u filebeat -f
4. 可选:使用Elastic模块简化监控
Filebeat内置了针对常见系统服务的模块(如system、nginx、mysql),可自动解析日志格式并提取字段。启用system模块(监控系统日志)的步骤:
sudo filebeat modules enable system
模块配置文件位于/etc/filebeat/modules.d/system.yml,可根据需求调整(如过滤特定日志级别)。启用后,重新加载Filebeat配置:
sudo systemctl restart filebeat
5. 可选:配置Kibana可视化(需安装Kibana)
若已安装Kibana,可通过以下步骤可视化Filebeat数据:
http://<服务器IP>:5601),进入“Stack Management > Index Patterns”。filebeat-*(匹配Filebeat生成的索引),选择@timestamp作为时间字段,完成创建。注意事项
sudo systemctl status elasticsearch)。ssl参数(参考Elastic官方文档)。username/password)以提高安全性。