Windows安装Filebeat

下载

下载地址：https://www.elastic.co/cn/downloads/beats/filebeat

安装

解压压缩包至指定目录下

配置

此文件是一个示例配置文件，仅突出显示最常用的选项。来自同一目录的filebeat.reference.yml文件包含所有受支持的选项和更多注释。你可以把它作为参考。您可以在这里找到完整的配置参考：https://www.elastic.co/guide/en/beats/filebeat/index.html有关更多可用的模块和选项，请参阅filebeat.reference.yml示例配置文件。

Filebeat 输入配置

filebeat.inputs:
#每个-都是一个输入。大多数选项可以在输入级别设置，因此您可以为各种配置使用不同的输入。以下是特定于输入的配置
- type: log
#更改为true以启用此输入配置。
enabled: false

#filebeat监听的日志文件，path是数组，可以配置多个目录下的文件,名字和logback.xml中要对应
paths:
- /var/log/*.log
- c:\programdata\elasticsearch\logs*

#排除行。要匹配的正则表达式列表。它将删除与列表中任何正则表达式匹配的行。
exclude_lines: [’^DBG’]

#包括行。要匹配的正则表达式列表。它导出与列表中任何正则表达式匹配的行。
include_lines: [’^ERR’, ‘^WARN’]

#排除文件。要匹配的正则表达式列表。Filebeat从列表中删除与任何正则表达式匹配的文件。默认情况下，不会删除任何文件。
exclude_files: [’.gz$’]

#可选的附加字段。可以自由选择这些字段，将附加信息添加到爬网日志文件中进行筛选
fields:
level: debug
review: 1

#>#>#多行选项
#这个需要与logback.xml中定义的日志规则匹配 （^[ 的意思为不以 [ 为开头的将合并为多行）
multiline.pattern: ^[

#定义模式下的模式集是否应取反。默认值为false。
multiline.negate: false

#Match可以设置为“after”或“before”。它用于定义是否应将行追加到模式，该模式在模式之前或之后匹配（不匹配），或者只要模式基于否定不匹配。
#注：After相当于previous，before相当于Logstash中的next
multiline.match: after

Filebeat 模块

filebeat.config.modules:
#配置加载的全局模式
path: ${path.config}/modules.d/*.yml

#设置为true以启用配置重新加载
reload.enabled: false

#应检查路径下文件的更改时间段
reload.period: 10s

Elasticsearch 模板设置

setup.template.settings:
index.number_of_shards: 1
index.codec: best_compression
_source.enabled: false

基本配置

#发布网络数据的发货人的名称。它可用于在web界面中对单个发货人发送的所有事务进行分组。
name: administer

#发货人的标记包含在其自己的字段中，每个事务都已发布。
tags: [“service-X”, “web-tier”]

#可选字段，可以指定这些字段以向输出添加附加信息。
fields:
env: staging

Dashboards

#这些设置控制将示例Dashboards加载到Kibana索引。默认情况下，加载Dashboards是禁用的，可以通过在此处设置选项或使用“setup”命令来启用。
setup.dashboards.enabled: false

#从何处下载Dashboards存档的URL。默认情况下，此URL具有一个基于节拍名称和版本计算的值。对于发布的版本，此URL指向artifacts.elastic.co网站上的Dashboards存档。
setup.dashboards.url:

Kibana配置

#从Beats 6.0.0版开始，Dashboards通过Kibana API加载。
#这需要Kibana端点配置。
setup.kibana:

#Kibana Host
#方案和端口可以省略，并将设置为默认值（http和5601）如果指定和附加路径，则路径是必需的: http://localhost:5601/path
#IPv6地址应始终定义为： https://[2001:db8::1]:5601
host: “localhost:5601”

#Kibana Space ID
#Dashboards应加载到的Kibana空间的ID。默认情况下，将使用默认空间。
space.id:

Elastic Cloud 配置

#这些设置简化了对Elastic Cloud使用Filebeat (https://cloud.elastic.co/).

#cloud.id设置覆盖“output.elasticsearch.hosts”和“setup.kibana.host”选项。您可以在Elastic Cloud的web UI中找到“cloud.id”。
cloud.id:

#cloud.auth设置覆盖“output.elasticsearch.username”和“output.elasticsearch.password”设置。格式是<user>:<pass>.
cloud.auth:

输出配置

#beat收集到的数据输出配置。
#Elasticsearch 输出
output.elasticsearch:

#要连接到的集群。
hosts: [“localhost:9200”]

#协议-http（默认）或https。
protocol: “https”

#身份验证凭据-API密钥或用户名/密码。
api_key: “id:api_key”
username: “elastic”
password: “changeme”

Logstash output输出

output.logstash:
#The Logstash 地址
hosts: [“localhost:5044”]

#可选SSL。默认情况下为禁用。
#用于HTTPS服务器验证的根证书列表
ssl.certificate_authorities: ["/etc/pki/root/ca.pem"]

#用于SSL客户端身份验证的证书
ssl.certificate: “/etc/pki/client/cert.pem”

#客户端证书密钥
ssl.key: “/etc/pki/client/cert.key”

处理器配置

#配置处理器以增强或操作由beat生成的事件。
processors:

• add_host_metadata: ~
• add_cloud_metadata: ~
• add_docker_metadata: ~
• add_kubernetes_metadata: ~

日志配置

#设置日志级别。默认日志级别为info。
#可用的日志级别有：错误、警告、信息、调试
#logging.level: debug

#在调试级别，您可以选择性地仅对某些组件启用日志记录。
#要启用所有选择器，请使用[""]。其他选择器的例子有"beat"、“publish”、“service”。
#logging.selectors: [""]

X-Pack 监测配置

#filebeat可以将内部度量导出到中央Elasticsearch监视群集。这需要在Elasticsearch中启用xpack监视。默认情况下，报告处于禁用状态。

#设置为true以启用监视报告器。
monitoring.enabled: false

#设置Elasticsearch群集的UUID，在此群集下，此Filebeat实例的监视数据将显示在堆栈监视UI中。如果启用了output.elasticsearch，则UUID派生自output.elasticsearch引用的elasticsearch集群。
monitoring.cluster_uuid:

#取消注释以将度量发送到Elasticsearch。Elasticsearch输出中的大多数设置也可以在这里接受。请注意，这些设置应该指向您的Elasticsearchmonitoring集群。任何未设置的设置都会自动从Elasticsearch输出配置继承，因此，如果已将Elasticsearch输出配置为指向Elasticsearch监视群集，则只需取消对以下行的注释即可。
monitoring.elasticsearch:

迁移配置

#这允许启用6.7迁移别名
migration.6_to_7.enabled: true

启动

打开CMD窗口，进入Filebeat根目录下，输入启动命令

filebeat -e -c filebeat.yml

启动成功