CentOS中Filebeat的監控策略

以下是CentOS中Filebeat的監控策略及配置要點：

1. 安裝Filebeat
   通過官方倉庫或手動下載安裝包安裝，如：

   sudo yum install filebeat -y  # CentOS 7/8  
   sudo rpm -ivh filebeat-*.rpm  # 手動安裝  
   

2. 配置監控目標
   編輯/etc/filebeat/filebeat.yml，指定日志路徑、文件類型及過濾規則：

   • 監控系統日志：

     filebeat.inputs:  
     - type: log  
       enabled: true  
       paths:  
         - /var/log/*.log  
         - /var/log/messages  
       ignore_older: 72h  # 忽略超過72小時的日志  
     

   • 監控特定應用日志：

     - type: log  
       paths:  
         - /var/log/nginx/access.log  
         - /var/log/nginx/error.log  
       exclude_files: ['\.gz$']  # 排除壓縮文件  
     

3. 設置輸出目標
   將日志發送至Elasticsearch或Logstash：

   • Elasticsearch：

     output.elasticsearch:  
       hosts: ["localhost:9200"]  
       index: "filebeat-%{yyyy.MM.dd}"  # 按日期動態生成索引  
     

   • Logstash：

     output.logstash:  
       hosts: ["localhost:5044"]  
     

4. 啟用高級功能

   • 模塊化監控：啟用Nginx、MySQL等模塊快速采集特定日志（需安裝對應模塊）：

     filebeat.modules:  
     - module: nginx  
       access:  
         enabled: true  
         var.paths: ["/var/log/nginx/access.log"]  
     

   • 日志過濾與處理：通過processors提取字段或過濾內容，如使用dissect解析日志格式。

5. 優化性能與可靠性

   • 調整日志級別：在filebeat.yml中設置logging.level（如info/debug），控制日志詳細程度。
   • 配置文件輪轉：通過logging.files參數設置日志文件大小、保留天數等。
   • 啟用自動發現：監控容器或動態路徑時，使用filebeat.autodiscover自動識別日志源。

6. 啟動與驗證

   sudo systemctl start filebeat  
   sudo systemctl enable filebeat  
   # 驗證配置是否正確  
   sudo filebeat -e -c /etc/filebeat/filebeat.yml -d "publish"  
   # 查看日志輸出  
   sudo tail -f /var/log/filebeat/filebeat.log  
   

7. 可視化與告警

   • 集成Kibana展示日志趨勢、統計圖表。
   • 通過Elasticsearch的告警規則（如Watcher）或對接第三方工具（如Slack）實現異常通知。

關鍵配置文件路徑：

• 主配置文件：/etc/filebeat/filebeat.yml
• 日志文件：/var/log/filebeat/filebeat.log

參考來源：