1. 安装Filebeat
在Debian系统上,推荐通过官方软件源安装Filebeat(确保软件包版本与Elastic Stack兼容)。执行以下命令完成安装:
sudo apt update && sudo apt install filebeat -y
若需安装特定版本,可从Elastic官网下载对应.deb包,再通过dpkg命令手动安装(如sudo dpkg -i filebeat-8.6.2-amd64.deb)。
2. 配置Filebeat监控系统日志
Filebeat的主配置文件位于/etc/filebeat/filebeat.yml,需修改此文件定义输入源、输出目标及可选参数:
filebeat.inputs模块指定要监控的日志文件路径。针对Debian系统,常见日志文件包括/var/log/syslog(系统通用日志)、/var/log/auth.log(认证日志)、/var/log/kern.log(内核日志)等。示例配置:filebeat.inputs:
- type: log # 输入类型为日志文件
enabled: true # 启用该输入
paths: # 监控的日志文件路径(支持通配符)
- /var/log/syslog
- /var/log/auth.log
- /var/log/kern.log
ignore_older: 72h # 忽略超过72小时的旧日志(避免处理陈旧数据)
close_inactive: 1h # 1小时内无新写入的文件将被关闭(释放资源)
output.elasticsearch:
hosts: ["localhost:9200"] # Elasticsearch地址(多节点用逗号分隔)
index: "filebeat-%{[agent.version]}-%{+yyyy.MM.dd}" # 动态生成索引名(包含Filebeat版本和日期)
output.elasticsearch替换为:output.logstash:
hosts: ["localhost:5044"] # Logstash地址
fields)、设置日志级别(logging.level: info)、过滤敏感信息(exclude_lines: ["password"])等。3. 启动并启用Filebeat服务
配置完成后,执行以下命令启动Filebeat并设置为开机自启动:
sudo systemctl start filebeat # 启动服务
sudo systemctl enable filebeat # 启用开机自启动
通过sudo systemctl status filebeat命令可检查服务运行状态(显示“active (running)”表示正常)。
4. 验证配置正确性
sudo filebeat test config命令检查配置文件是否有语法错误(无错误提示则表示配置正确)。sudo tail -f /var/log/filebeat/filebeat.log命令实时查看Filebeat运行日志,确认是否成功读取监控的日志文件(如出现“Harvester started for file”表示开始采集)。GET _cat/indices?v命令,查看是否存在filebeat-*索引(表示日志已成功发送)。5. 可选优化:使用Filebeat模块简化配置
Filebeat内置了针对常见日志类型的模块(如system模块),可自动识别Debian系统日志格式并提取关键字段(如时间戳、主机名、进程名)。启用步骤如下:
sudo filebeat modules enable system # 启用system模块
sudo systemctl restart filebeat # 重启Filebeat使模块生效
启用后,system模块会自动监控/var/log/syslog、/var/log/auth.log等系统日志,无需手动配置paths。可通过sudo filebeat setup --dashboards命令导入模块对应的Kibana仪表板,快速实现日志可视化。