配置Filebeat
Filebeat模塊爲常見的日誌格式提供了最快的入門體驗。請參閱常見日誌格式的快速入門 以瞭解如何開始使用模塊。如果您使用Filebeat模塊開始使用,您可以跳過本節中的內容(包括剩餘的入門步驟),並直接進入常見日誌格式快速入門 頁面。
要配置Filebeat,請編輯配置文件。對於rpm和deb,你會在找到配置文件/etc/filebeat/filebeat.yml
。在Docker下,它位於/usr/share/filebeat/filebeat.yml
。對於mac和win,請查看剛剛提取的存檔。還有一個完整的示例配置文件稱爲filebeat.reference.yml
。
有關配置文件結構的更多信息,請參閱Beats平臺參考的 配置文件格式部分 。
以下是filebeat
該filebeat.yml
文件部分的示例。Filebeat爲大多數配置選項使用預定義的默認值。
filebeat.inputs:
- type:log
enabled:true
paths:
-
/ var / log / * 。log # - c:\ programdata \ elasticsearch \ logs \ *
配置Filebeat:
-
定義日誌文件的路徑(或路徑)。
對於最基本的Filebeat配置,您可以使用單個路徑定義單個輸入。例如:
filebeat.inputs: - type: log enabled: true paths: - /var/log/*.log
此示例中的輸入收集路徑中的所有文件
/var/log/*.log
,這意味着Filebeat將收集以該目錄/var/log/
結尾的所有文件.log
。要從預定義級別的子目錄中獲取所有文件,可以使用以下模式:
/var/log/*/*.log
。這.log
將從子文件夾中獲取所有文件/var/log
。它不會從/var/log
文件夾本身獲取日誌文件。目前無法遞歸獲取目錄所有子目錄中的所有文件。 -
如果直接將輸出發送到Elasticsearch(而不是使用Logstash),請設置Filebeat可以找到Elasticsearch安裝的IP地址和端口:
output.elasticsearch: hosts:[“192.168.1.41:9200”]
-
如果您打算使用隨Filebeat提供的示例Kibana儀表板,請配置Kibana端點:
setup.kibana: host:“localhost:5601”
哪裏
host
是主機名,其中Kibana運行,例如機器的端口,localhost:5601
。如果您在端口號後面指定路徑,則需要包含方案和端口:
http://localhost:5601/path
。 -
如果您已經確保了Elasticsearch和Kibana的安全性,那麼在運行設置並啓動Filebeat的命令之前,您需要在配置文件中指定憑證。例如:
output.elasticsearch: hosts: ["myEShost:9200"] username: "filebeat_internal" password: "{pwd}" setup.kibana: host: "mykibanahost:5601" username: "my_kibana_user" password: "{pwd}"
這些示例顯示了一個硬編碼的密碼,但您應該將敏感值存儲在祕密密鑰庫中。 該 username
和password
爲Kibana設置可選。如果未指定Kibana的憑據,則Filebeat將使用 爲Elasticsearch輸出指定的username
和password
。如果您打算設置Kibana儀表板,則用戶必須具有 kibana_user
內置角色或等效權限。