要在Ubuntu上将Filebeat与Logstash联动,您需要按照以下步骤操作:
安装Filebeat和Logstash:
如果您尚未安装Filebeat和Logstash,请按照以下命令进行安装:
sudo apt-get update
sudo apt-get install filebeat logstash
配置Filebeat:
编辑Filebeat配置文件 /etc/filebeat/filebeat.yml,并添加以下内容以指定要发送到Logstash的日志文件或路径。例如,如果您要将 /var/log/syslog 文件发送到Logstash,请添加以下内容:
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/syslog
然后,配置Filebeat以将日志发送到Logstash的地址和端口。在 filebeat.yml 文件中添加以下内容:
output.logstash:
hosts: ["<logstash_host>:<logstash_port>"]
将 <logstash_host> 替换为您的Logstash服务器的主机名或IP地址,将 <logstash_port> 替换为Logstash监听的端口(默认为5044)。
配置Logstash:
编辑Logstash配置文件 /etc/logstash/conf.d/filebeat.conf,并添加以下内容以接收来自Filebeat的日志:
input {
beats {
port => <logstash_port>
}
}
output {
# 您可以根据需要将日志发送到不同的目标,例如Elasticsearch、文件或其他服务
elasticsearch {
hosts => ["localhost:9200"]
index => "filebeat-%{+YYYY.MM.dd}"
}
}
将 <logstash_port> 替换为您在Filebeat配置中指定的Logstash端口。
启动并启用Filebeat和Logstash服务:
sudo systemctl start filebeat
sudo systemctl enable filebeat
sudo systemctl start logstash
sudo systemctl enable logstash
现在,Filebeat应该已经将日志发送到Logstash,然后Logstash会将这些日志转发到您指定的目标。在这个例子中,我们将日志发送到了Elasticsearch。如果您还没有安装和配置Elasticsearch,请参考官方文档:https://www.elastic.co/guide/en/elasticsearch/reference/current/install-elasticsearch.html