CentOS下Filebeat配置文件詳解

在CentOS下配置Filebeat主要涉及編輯filebeat.yml文件，該文件定義了Filebeat要監視的日志源、采集策略、日志過濾規則和目標輸出等。以下是一個詳細的Filebeat配置文件示例及其解釋：

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log
  tags: ["java-logs"]
  fields:
    app_id: "query_engine_12"
    fields_under_root: true
  fields_under_root: true
  exclude_files: ['\.gz$']

output.elasticsearch:
  hosts: ["localhost:9200"]
  index: "filebeat-%{yyyy.MM.dd}"

配置文件詳解

• filebeat.inputs：定義了Filebeat要監視的日志源。

  • type: log：指定輸入類型為日志。
  • enabled: true：啟用輸入。
  • paths：指定要監視的日志文件路徑。
  • tags：為日志事件添加標簽，便于后續處理。
  • fields：為事件添加自定義字段。
  • exclude_files：排除不需要監視的文件類型。

• output.elasticsearch：定義了Filebeat將日志數據發送到的Elasticsearch實例。

  • hosts：Elasticsearch實例的地址和端口。
  • index：指定日志數據的索引名稱，可以使用占位符%{yyyy.MM.dd}動態生成日期格式的索引名。

其他常見配置選項

• 配置文件路徑：默認情況下，Filebeat的配置文件位于/etc/filebeat/filebeat.yml。你可以根據需要更改此路徑。
• 監控文件變化：Filebeat可以監視文件的變化并自動重新打開它們。你可以在配置文件中啟用此功能，例如：

  filebeat.autodiscover:
    providers:
      - type: kubernetes
        nodes: {NODES}
        hints.enabled: true
        hints.default_config:
          type: container
          paths:
            - /var/lib/docker/containers/{data.kubernetes.container.id}/*.log
  

  上述配置使用Kubernetes提供程序自動發現容器日志文件，并監視它們的變化。

啟動和檢查Filebeat

配置完成后，你可以啟動Filebeat服務并檢查其狀態以確保它正在運行：

sudo systemctl start filebeat
sudo systemctl status filebeat

要測試配置文件是否正確，可以使用以下命令：

./filebeat -e -c /etc/filebeat/filebeat.yml

這將以前臺模式運行Filebeat并測試配置文件。

以上信息提供了在CentOS下配置Filebeat的基本框架和詳細說明，根據具體需求，你可能需要進一步調整和優化配置。建議查閱Filebeat官方文檔以獲取更詳細的配置信息和高級用法。