如何用Filebeat监控系统日志

以下是使用Filebeat监控系统日志的核心步骤：

1. 安装Filebeat

   • CentOS：通过包管理器安装，如sudo yum install filebeat。
   • Debian/Ubuntu：使用sudo apt install filebeat。

2. 配置监控路径
   编辑配置文件/etc/filebeat/filebeat.yml，在filebeat.inputs中指定日志路径，例如：

   filebeat.inputs:  
   - type: log  
     enabled: true  
     paths:  
       - /var/log/*.log       # 监控/var/log下所有.log文件  
       - /var/log/nginx/*.log # 监控Nginx日志（可选）  
     ignore_older: 72h        # 忽略超过72小时的日志  
   

3. 设置输出目标

   • 发送到Elasticsearch（用于可视化分析）：

     output.elasticsearch:  
       hosts: ["localhost:9200"]  # Elasticsearch地址  
       index: "filebeat-%{+yyyy.MM.dd}"  # 索引名称格式  
     

   • 发送到Logstash（需先安装Logstash）：

     output.logstash:  
       hosts: ["localhost:5044"]  # Logstash地址  
     

4. 启动并验证

   • 启动服务：sudo systemctl start filebeat。
   • 设置开机自启：sudo systemctl enable filebeat。
   • 查看状态：sudo systemctl status filebeat。
   • 检查日志：sudo journalctl -u filebeat -f（查看实时日志）或sudo tail -f /var/log/filebeat/filebeat.log。

5. 高级配置（可选）

   • 多行日志处理：添加multiline配置，合并跨行日志（如Java异常堆栈）。
   • 添加元数据：通过processors添加主机、容器等信息。
   • 日志轮转控制：设置harvester_close_inactive等参数管理文件轮转。

6. 可视化分析
   安装Kibana并配置索引模式，可实时查看日志趋势、搜索关键事件。

注意事项：

• 确保Filebeat有权限读取目标日志文件。
• 根据日志量调整缓冲区大小（spool_size等参数）。
• 生产环境建议启用TLS加密传输日志。

参考来源：