在CentOS上配置Filebeat與Logstash集成�,可以按照以下步驟進行:
1. 安裝Filebeat
首先��,確保你的CentOS系統已經更新到最新狀態:
sudo yum update -y
然后�����,安裝Elastic的YUM倉庫:
sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
echo "[elasticsearch-7.x]
name=Elasticsearch repository for 7.x packages
baseurl=https://artifacts.elastic.co/packages/7.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md" | sudo tee -a /etc/yum.repos.d/elasticsearch.repo
接下來����,安裝Filebeat:
sudo yum install filebeat -y
2. 配置Filebeat
編輯Filebeat的配置文件 /etc/filebeat/filebeat.yml:
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log
output.logstash:
hosts: ["localhost:5044"]
這個配置文件指定了Filebeat從 /var/log/*.log 目錄讀取日志��,并將日志發送到本地的Logstash實例(默認端口為5044)�����。
3. 安裝并啟動Logstash
如果你還沒有安裝Logstash���,可以使用以下命令安裝:
sudo yum install logstash -y
編輯Logstash的配置文件 /etc/logstash/conf.d/filebeat.conf:
input {
beats {
port => 5044
}
}
filter {
# 根據需要添加過濾器
# 例如���,解析JSON格式的日志:
# json {
# source => "message"
# }
}
output {
elasticsearch {
hosts => ["localhost:9200"]
index => "filebeat-%{+YYYY.MM.dd}"
}
}
啟動Logstash:
sudo systemctl start logstash
sudo systemctl enable logstash
4. 啟動Filebeat
啟動Filebeat并設置開機自啟:
sudo systemctl start filebeat
sudo systemctl enable filebeat
5. 驗證集成
確保Logstash正在運行并且可以接收來自Filebeat的數據���。你可以使用以下命令查看Logstash的日志:
sudo tail -f /var/log/logstash/logstash-plain.log
同時�,檢查Elasticsearch中的索引是否在增長:
curl -X GET "localhost:9200/_cat/indices?v&pretty"
你應該能看到名為 filebeat-* 的索引��。
通過以上步驟�,你就成功地在CentOS上配置了Filebeat與Logstash的集成����。根據實際需求���,你可能需要調整配置文件中的路徑��、端口和其他參數���。
