1. 安装Filebeat
在Linux系统(如CentOS、Ubuntu)上,通过包管理器或官网下载安装Filebeat。以CentOS为例,可使用yum安装官方RPM包:sudo yum install -y filebeat;若从官网下载,需解压后移动至/usr/share/filebeat目录,并创建软链接简化命令调用。
2. 配置Filebeat核心参数
编辑/etc/filebeat/filebeat.yml(默认路径),关键配置包括三部分:
filebeat.inputs指定要收集的日志文件路径和类型。例如,收集系统日志可使用type: log,并设置paths: ["/var/log/*.log", "/var/log/myapp/*.log"];若需排除压缩文件,可添加exclude_files: ['\.gz$']。output.elasticsearch: hosts: ["elasticsearch_host:9200"];若需添加自定义索引名(如按日期分割),可使用index: "filebeat-%{[agent.version]}-%{+yyyy.MM.dd}"。processors添加日志处理步骤(如删除敏感字段remove_fields: fields: ["password"])、解析JSON格式日志(json.keys_under_root: true);或通过filebeat.autodiscover实现容器/Kubernetes环境下的动态日志发现。3. 启动与验证Filebeat服务
配置完成后,启动Filebeat服务并设置为开机自启动:sudo systemctl enable filebeat && sudo systemctl start filebeat。通过sudo systemctl status filebeat检查服务状态(应为“active (running)”);查看日志确认无错误:sudo tail -f /var/log/filebeat/filebeat.log。
使用curl命令验证日志是否发送至Elasticsearch:curl -X GET "http://elasticsearch_host:9200/_cat/indices?v",若看到以filebeat-开头的索引,则说明配置成功。
4. 部署多节点与扩展架构
为实现真正的集中管理,需在所有需要收集日志的Linux服务器上重复上述步骤(安装、配置、启动Filebeat)。所有Filebeat实例会将日志发送至同一个Elasticsearch集群,确保日志数据的统一存储。若需处理大量日志,可通过调整max_procs(增加CPU核心利用率)、bulk_max_size(批量发送大小,如512KB)等参数优化性能。
5. 安全加固措施
output.elasticsearch.ssl.certificate_authorities: ["/etc/pki/root/ca.pem"](指定CA证书路径)。iptables/firewalld)限制Elasticsearch端口(默认9200)的访问,仅允许可信IP地址连接。6. 监控与维护
使用Elastic Stack的监控工具(如Kibana的Stack Monitoring)监控Filebeat的运行状态,包括日志收集速率、发送延迟、错误率等指标。若发现异常(如日志堆积),可调整scan_frequency(文件扫描频率,默认10秒)、harvester_buffer_size(采集器缓冲区大小,默认16KB)等参数优化性能。