Filebeat 是一個輕量級的日志收集器���,用于將日志數據發送到 Elasticsearch 或 Logstash 進行存儲和分析����。要在 Ubuntu 系統上使用 Filebeat 收集日志�����,請按照以下步驟操作:
-
安裝 Filebeat:
在終端中運行以下命令以添加 Filebeat 的官方 GPG 密鑰:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
接下來��,創建一個新的 Filebeat 存儲庫:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/filebeat.list
然后�����,更新軟件包索引并安裝 Filebeat:
sudo apt-get update && sudo apt-get install filebeat
-
配置 Filebeat:
安裝完成后���,Filebeat 的配置文件位于 /etc/filebeat/filebeat.yml�����。使用文本編輯器打開該文件���,例如:
sudo nano /etc/filebeat/filebeat.yml
在 filebeat.yml 文件中�,找到 filebeat.inputs 部分并啟用系統日志模塊��。例如:
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/syslog
- /var/log/auth.log
在這個例子中����,Filebeat 將收集 /var/log/syslog 和 /var/log/auth.log 文件中的日志���。你可以根據需要添加其他日志文件路徑��。
如果你想讓 Filebeat 將日志發送到 Elasticsearch 或 Logstash�,還需要配置輸出模塊�����。例如�,將日志發送到本地的 Elasticsearch 實例:
output.elasticsearch:
hosts: ["localhost:9200"]
保存并關閉 filebeat.yml 文件�����。
-
啟動并啟用 Filebeat 服務:
使用以下命令啟動 Filebeat 服務:
sudo systemctl start filebeat
要使 Filebeat 在系統啟動時自動運行����,請執行以下命令:
sudo systemctl enable filebeat
現在��,Filebeat 已經開始收集 Ubuntu 系統日志并將其發送到指定的輸出目標�����。你可以根據需要調整配置文件以滿足特定需求����。
