在Ubuntu上使用Filebeat實現監控與告警��,需結合Elastic Stack組件���,核心步驟如下:
一�����、基礎安裝與配置
- 安裝Filebeat
sudo apt-get update && sudo apt-get install filebeat
- 配置監控目標
編輯 /etc/filebeat/filebeat.yml��,指定日志路徑(如系統日志�、應用日志):filebeat.inputs:
- type: log
enabled: true
paths: ["/var/log/*.log", "/var/log/syslog"]
output.elasticsearch:
hosts: ["localhost:9200"]
啟用模塊(如系統日志):filebeat.modules:
- module: system
syslog:
enabled: true
- 啟動服務
sudo systemctl enable --now filebeat
二����、告警規則設置(基于Elasticsearch Watcher)
- 創建索引模板(可選)
確保Filebeat數據被正確索引���,在Kibana Dev Tools執行:PUT /_template/filebeat
{
"index_patterns": ["filebeat-*"],
"mappings": {
"_source": { "enabled": true }
}
}
- 定義Watcher告警規則
在Kibana Dev Tools中創建Watcher(以監控錯誤日志為例):PUT _watcher/watch/filebeat_error_alert
{
"trigger": { "schedule": { "interval": "1m" } },
"input": {
"search": {
"request": {
"indices": ["filebeat-*"],
"body": {
"query": {
"bool": {
"must": [
{ "range": { "@timestamp": { "gte": "now-1m", "lte": "now" } } },
{ "term": { "log.level": "ERROR" } }
]
}
}
}
}
}
},
"condition": {
"compare": { "ctx.payload.hits.total": { "gt": 0 } }
},
"actions": {
"send_email": {
"email": {
"to": "admin@example.com",
"subject": "Filebeat Error Alert",
"body": "Detected {{ctx.payload.hits.total}} error logs in the last minute."
}
}
}
}
說明:
trigger.interval:告警檢測頻率�����。input.query:通過Elasticsearch DSL定義篩選條件(如錯誤日志�、特定字段值)�����。actions:支持郵件�、Slack等通知方式(需提前配置SMTP或集成第三方服務)���。
三��、驗證與維護
- 測試告警
手動添加錯誤日志到監控路徑�,觀察是否觸發通知���。
- 查看Watcher狀態
在Kibana的“Stack Management”→“Watcher”中查看規則運行情況��。
- 調整閾值與規則
根據實際需求修改query條件(如增加時間范圍�、關聯字段)或actions中的通知方式����。
注意事項
- 組件依賴:需提前安裝并配置Elasticsearch��、Kibana�,且版本需兼容�����。
- 權限配置:確保Filebeat有權限寫入Elasticsearch���,Watcher需訪問對應索引的權限�����。
- 替代方案:若需更復雜的監控(如多維度指標)��,可集成Prometheus+Grafana��,通過Filebeat采集指標數據后實現告警��。
參考來源:
