如何用Filebeat監控系統日志

以下是使用Filebeat監控系統日志的核心步驟：

1. 安裝Filebeat

   • CentOS：通過包管理器安裝，如sudo yum install filebeat。
   • Debian/Ubuntu：使用sudo apt install filebeat。

2. 配置監控路徑
   編輯配置文件/etc/filebeat/filebeat.yml，在filebeat.inputs中指定日志路徑，例如：

   filebeat.inputs:  
   - type: log  
     enabled: true  
     paths:  
       - /var/log/*.log       # 監控/var/log下所有.log文件  
       - /var/log/nginx/*.log # 監控Nginx日志（可選）  
     ignore_older: 72h        # 忽略超過72小時的日志  
   

3. 設置輸出目標

   • 發送到Elasticsearch（用于可視化分析）：

     output.elasticsearch:  
       hosts: ["localhost:9200"]  # Elasticsearch地址  
       index: "filebeat-%{+yyyy.MM.dd}"  # 索引名稱格式  
     

   • 發送到Logstash（需先安裝Logstash）：

     output.logstash:  
       hosts: ["localhost:5044"]  # Logstash地址  
     

4. 啟動并驗證

   • 啟動服務：sudo systemctl start filebeat。
   • 設置開機自啟：sudo systemctl enable filebeat。
   • 查看狀態：sudo systemctl status filebeat。
   • 檢查日志：sudo journalctl -u filebeat -f（查看實時日志）或sudo tail -f /var/log/filebeat/filebeat.log。

5. 高級配置（可選）

   • 多行日志處理：添加multiline配置，合并跨行日志（如Java異常堆棧）。
   • 添加元數據：通過processors添加主機、容器等信息。
   • 日志輪轉控制：設置harvester_close_inactive等參數管理文件輪轉。

6. 可視化分析
   安裝Kibana并配置索引模式，可實時查看日志趨勢、搜索關鍵事件。

注意事項：

• 確保Filebeat有權限讀取目標日志文件。
• 根據日志量調整緩沖區大?。?code>spool_size等參數）。
• 生產環境建議啟用TLS加密傳輸日志。

參考來源：