Filebeat 是一个轻量级的日志收集器,用于将日志数据从多个来源发送到如 Elasticsearch 或 Logstash 等后端存储。要在 CentOS 上使用 Filebeat 监控系统日志,您需要执行以下步骤:
安装 Filebeat:
首先,您需要在 CentOS 上安装 Filebeat。您可以使用以下命令安装:
sudo yum install filebeat
配置 Filebeat:
安装完成后,您需要配置 Filebeat 以监控您的系统日志。Filebeat 的配置文件通常位于 /etc/filebeat/filebeat.yml。您可以使用文本编辑器(如 vim 或 nano)编辑此文件:
sudo vi /etc/filebeat/filebeat.yml
在 filebeat.yml 文件中,找到 filebeat.inputs 部分并添加以下内容以监控系统日志:
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log
ignore_older: 72h
这将使 Filebeat 监控 /var/log 目录下的所有 .log 文件,并忽略 72 小时前的日志文件。
如果您只想监控特定的日志文件,可以将 /var/log/*.log 替换为特定的文件路径,例如 /var/log/messages 或 /var/log/secure。
启动并启用 Filebeat 服务:
保存并关闭 filebeat.yml 文件后,您可以使用以下命令启动 Filebeat 服务:
sudo systemctl start filebeat
要使 Filebeat 在系统启动时自动运行,请执行以下命令:
sudo systemctl enable filebeat
验证 Filebeat 是否正常工作:
您可以使用以下命令查看 Filebeat 的状态:
sudo systemctl status filebeat
如果 Filebeat 正常运行,您应该看到 “Active: active (running)” 状态。
现在,Filebeat 将开始监控您的 CentOS 系统日志,并将它们发送到配置的后端存储(如 Elasticsearch 或 Logstash)。您可以根据需要调整 Filebeat 配置以满足您的需求。