Filebeat 是一个轻量级的日志收集器,用于将日志数据发送到 Elasticsearch 或 Logstash 进行存储和分析。要在 Ubuntu 系统上使用 Filebeat 收集日志,请按照以下步骤操作:
安装 Filebeat:
在终端中运行以下命令以添加 Filebeat 的官方 GPG 密钥:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
接下来,创建一个新的 Filebeat 存储库:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/filebeat.list
然后,更新软件包索引并安装 Filebeat:
sudo apt-get update && sudo apt-get install filebeat
配置 Filebeat:
安装完成后,Filebeat 的配置文件位于 /etc/filebeat/filebeat.yml。使用文本编辑器打开该文件,例如:
sudo nano /etc/filebeat/filebeat.yml
在 filebeat.yml 文件中,找到 filebeat.inputs 部分并启用系统日志模块。例如:
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/syslog
- /var/log/auth.log
在这个例子中,Filebeat 将收集 /var/log/syslog 和 /var/log/auth.log 文件中的日志。你可以根据需要添加其他日志文件路径。
如果你想让 Filebeat 将日志发送到 Elasticsearch 或 Logstash,还需要配置输出模块。例如,将日志发送到本地的 Elasticsearch 实例:
output.elasticsearch:
hosts: ["localhost:9200"]
保存并关闭 filebeat.yml 文件。
启动并启用 Filebeat 服务:
使用以下命令启动 Filebeat 服务:
sudo systemctl start filebeat
要使 Filebeat 在系统启动时自动运行,请执行以下命令:
sudo systemctl enable filebeat
现在,Filebeat 已经开始收集 Ubuntu 系统日志并将其发送到指定的输出目标。你可以根据需要调整配置文件以满足特定需求。