Filebeat7.x安装和使用

最新推荐文章于 2025-04-28 16:19:31 发布
最新推荐文章于 2025-04-28 16:19:31 发布
阅读量6.6k 收藏 9
点赞数 2
分类专栏: # elasticsearch 文章标签: filebeat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjcjava/article/details/99294734
版权

简介

Beats 有多种类型,可以根据实际应用需要选择合适的类型。

常用的类型有:

  • Packetbeat:网络数据包分析器,提供有关您的应用程序服务器之间交换的事务的信息。
  • Filebeat:从您的服务器发送日志文件。
  • Metricbeat:是一个服务器监视代理程序,它定期从服务器上运行的操作系统和服务收集指标。
  • Winlogbeat:提供Windows事件日志。

Filebeat 有两个主要组件:
harvester:负责读取一个文件的内容。它会逐行读取文件内容,并将内容发送到输出目的地。
prospector:负责管理 harvester 并找到所有需要读取的文件源。比如类型是日志,prospector 就会遍历制定路径下的所有匹配要求的文件。
在这里插入图片描述

安装filebeat 到目标机器

下载地址
https://www.elastic.co/cn/downloads/beats/filebeat
本测试使用windows环境安装filebeat
win:
下载win版本并解压,可以把它设置为系统服务

PS > cd ‘C:\Program Files\Filebeat’ 
PS C:\Program Files\Filebeat> .\install-service-filebeat.ps1

Centos

解压:tar -zxvf filebeat-7.3.0-linux-x86_64.tar.gz
创建软链接:ln -s filebeat-7.3.0-linux-x86_64 filebeat

配置filebeat

由于6.0之后的版本,不再支持 document_type 这个选项了

Starting with Logstash 6.0, the document_type option is deprecated due to the removal of types in Logstash 6.0. It will be removed in the next major version of Logstash. If you are running Logstash 6.0 or later, you do not need to set document_type in your configuration because Logstash sets the type to doc by default.

所以为了lostash能区分不同目录发过来的日志,我们使用 tags属性

修改filebeat的配置文件 filebeat.yml
修改为如下配置,开启2个prospectors,收集2个目录下的日志,同样支持这样的写法:/var/log//.log

filebeat.prospectors配置多个目录文件监测输入源

filebeat.inputs:
    - type: log
      # Change to true to enable this prospector configuration.
      enabled: true
      # Paths that should be crawled and fetched. Glob based paths.
      paths:
        - d:\nginx\log\*.log
      tags: ["naginx"]
    - type: log
      enabled: true
      paths:
        - d:\java\cms\log\*.log
      tags: ["cms"]


# ----------------output.kibana-------------------------
setup.kibana:
  host: "localhost:5601"

# ----------------output.elasticsearch-------------------------
output.elasticsearch:
  hosts: ["localhost:9200"]
  protocol: "http"
  index: "stat_filebeat"
 # template.name: "stat_ilebeat"
 # template.path: "filebeat.template.json"
 # template.overwrite: false
 
#----------------output.logstash-----------------------------
output.logstash:
  hosts: ["localhost:5044"]
 
#---------------output.kafka----------------------------------
output.kafka:
  enabled: true
  hosts: ["192.168.10.1:9092","192.168.10.2:9092","192.168.10.3:9092"]
  topic: "liuzc_test"
  partition.round_robin:
    reachable_only: true
  worker: 2
  required_acks: 1
  compression: gzip
  max_message_bytes: 10000000

上面监测两个文件源目类,并分别设置为了不同的tag名称,方便在后续的节点处理时根据不同的tag做不同的处理。
文件源数据输出方式有多种,es,logstash,Kibana等等其他数据中间件
主要配置参数

paths:指定要监控的日志,目前按照Go语言的glob函数处理。没有对配置目录做递归处理,比如配置的如果是:
encoding:指定被监控的文件的编码类型,使用plain和utf-8都是可以处理中文日志的。
input_type:指定文件的输入类型log(默认)或者stdin。 exclude_lines:在输入中排除符合正则表达式列表的那些行。
include_lines:包含输入中符合正则表达式列表的那些行(默认包含所有行),include_lines执行完毕之后会执行exclude_lines。
exclude_files:忽略掉符合正则表达式列表的文件(默认为每一个符合paths定义的文件都创建一个harvester)。
fields:向输出的每一条日志添加额外的信息,比如“level:debug”,方便后续对日志进行分组统计。默认情况下,会在输出信息的fields子目录下以指定的新增fields建立子目录,例如fields.level。
multiline:适用于日志中每一条日志占据多行的情况,比如各种语言的报错信息调用栈。这个配置的下面包含如下配置

启动

这里以写入logstash为例
beats配置filebeat.yml

paths:
    #- /var/log/*.log
    - D:\mnt\min-tool\nginx-1.16.0\logs\access.log
  tags: ["log1"]
output.logstash:
  # The Logstash hosts
  hosts: ["localhost:5044"]

logstash配置

logstash监听filebeat的配置文件(只是输出监听到的数据到控制台,不写入别的组件)
input {
  beats {
    port => 5044
  }
}
output {
    stdout{codec=>"rubydebug"}
}

beats指定配置文件启动

    ./filebeat run -e -c filebeat.yml -d "publish"
    ./filebeat -e -c filebeat.yml -d "publish" # run 可以省略

启动logstash可以看到有数据打印到控制台则说明配置成功。

参考文档

Filebeat的高级配置-Filebeat部分
https://blog.csdn.net/liukuan73/article/details/52330600

升级filebeat6.x至7.9.1
weixin_44909608的博客
10-09 1126
升级filebeat6.x至7.9.1 从filebeat6.x升级至filebeat-7.9.1-1 简介:由于需要通过filebeat解决时间乱序的问题,需要用到processors插件,而6.x版本不能使用processors插件,因此需将filebeat升级至filebeat-7.9.1-1版本,顺带解决生产环境版本不一致的问题。 #1.导入证书 rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch ...
filebeat 教程
08-05 1207
【代码】filebeat 教程。
filebeat-7.3.1-x86_64.rpm
10-11
filebeat7.3.1 rpm包,希望能 自己使用。 也有全套的elk安装
centos安装filebeat7.1.1
zhangkanglei的博客
02-04 598
【代码】centos安装filebeat7.1.1。
Filebeat安装与配置
最新发布
m0_37999943的博客
04-28 467
Filebeat是采集日志的一个开源组件,在日志监控,日志分析的系统中经常用到,这里对FileBeat进行安装使用配置方面的简单介绍。
ELK+kafka+filebeat7
m0_55004058的博客
05-15 410
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。需要这份系统化的资料的朋友,可以戳这里获取一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!sed -i ‘s/-Xmx1g/-Xmx4g/’ /usr/local/elasticsearch-6.5.4/config/jvm.options [root@
filebeat7.7.0相关详细配置预览- processors
热门推荐
BigManing的博客
09-01 1万+
文章目录前言processor1、add_cloud_metadata2、add_cloudfoundry_metadata3、add_cloudfoundry_metadata4、add_fields5、add_host_metadata6、add_id7、add_kubernetes_metadata8、add_kubernetes_metadata9、add_locale10、add_observer_metadata11、add_process_metadata 前言 处理器用于过滤或者增强要发送的
filebeat7.7.0相关详细配置预览(归类视角)
BigManing的博客
08-14 3184
文章目录一、前言二、参数配置分类1、Modules configuration2、Filebeat inputs3、Filebeat autodiscover4、Filebeat global options5、General6、 Processors7、Elastic Cloud8、Outputs9、 Paths10、 Keystore11、Dashboards12、Template13、 Setup ILM14、 Kibana15、 Logging16、 X-Pack Monitoring17、 HTT
Centos7 docker-compose安装ELK+Filebeat.zip
10-16
- 下载`Centos7 docker-compose安装ELK+Filebeat.zip`文件并解压:使用`wget`或`curl`下载压缩包,然后用`unzip`解压。 - 配置`docker-compose.yml`:根据你的需求修改解压后的`docker-compose.yml`文件,例如设置...
filebeat-7.8.0-linux-x86_64.tar.gz
07-13
9. **版本兼容性**:7.8.0是Filebeat的一个稳定版本,它与ElasticsearchLogstash的7.x系列保持兼容,确保整个Elastic Stack的协同工作。 10. **社区支持**:作为官方开源软件,Filebeat拥有庞大的开发者社区,...
2021最新版7.x => filebeat+logstash+ES集群+kibana实战.pdf
08-21
本文档主要介绍了如何从单机部署到集群部署的整个流程,并以7.x版本作为操作对象,具体内容涵盖了从安装配置、集群架构到数据存储搜索的实践知识。 单机部署Elasticsearch 7.x版本涉及以下步骤: 1. 关闭系统...
filebeat主配置文件
08-30
这个文件主要配置是指定需要发送给远程logstash的本地日志文件地址,以及远程logstash的IP地址端口
日志数据采集器 Filebeat 安装及操作
业余敲代码
12-25 1169
本篇概要:1. Filebeat 安装及基本操作;2. Filebeat 配合 Logstash 收集解析日志;2.1 配置 Filebeat 发送日志行到 Logstash;2.2 使用 Grok 过滤器插件解析日志;2.3 索引数据至 Elasticsearch;2.4 项目实例; 1. Filebeat 安装及基本操作; 下载 cd /usr/local/src wget https:/...
filebeat7.0安装基本使用
qq_73797346的博客
12-21 503
filebeat知识众多beat中的其中一个,elastic还有很多的beat。
跟着我搭建ELK-⑥Filebeat7.5安装使用安装安装
黄大胖子
03-07 1097
1.Filebeat是干什么的? 官网:当您要面对成百上千、甚至成千上万的服务器、虚拟机容器生成的日志时,请告别 SSH 吧。Filebeat 将为您提供一种轻量型方法,用于转发汇总日志与文件,让简单的事情不再繁杂。 人话:用Go语言写的日志采集器,用于日志采集到logstash中,稳定小巧。 filebeat可以把数据给很多组件如下图所示。 2.Filebeat注意事项 不可以root...
ELK 7.5.0(七)ELK7+Filebeat7
友人A的博客
08-07 581
一、实验环境 主机名 IP es 192.168.14.210 kibana 192.168.14.210 logstash 192.168.14.211 Filebeat 192.168.14.213 nginx 192.168.14.213 二、安装部署(内容比较多,已经分开写) 1、ELK(elasticsearch+logstash+k...
filebeat7.x-repo
爱吃鱼的小明的博客
07-23 167
[filebeat]# cat /etc/yum.repos.d/filebeat.repo [elastic-7.x] name=Elastic repository for 7.x packages baseurl=https://artifacts.elastic.co/packages/7.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1
kibana+elasticsearch+filebeat7.1.0)docker容器实现日志分析记录配置,并与harbar服务结合部署
乾坤瞬间的博客
06-03 2267
##安装部署流程 elasticsearch 安装部署流程 下载elasticsearch7.1 最新版本 docker (elasticsearch用来存储日志记录) shell> docker pull docker.elastic.co/elasticsearch/elasticsearch:7.1.0 本地安装并配置支持跨域容器设置 1. 开启容器 shell> doc...
centos安装filebeat
OfficerGoodbody的博客
08-11 403
centos安装filebeat
ubuntu22安装filebeat7
01-18
### 安装 Filebeat 7 的过程 #### 准备工作 为了确保顺利安装,在开始之前应更新系统的软件包列表并安装必要的依赖项[^1]。 ```bash sudo apt-get update && sudo apt-get upgrade -y ``` #### 添加 Elastic 软件源密钥库 通过官方提供的命令来添加 GPG 密钥,这一步骤对于验证下载文件的真实性至关重要[^3]。 ```bash wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elastic-keyring.gpg ``` #### 配置 APT 存储库 创建一个新的 sources.list.d 条目用于指向 Elasticsearch 的 APT 存储库。注意版本号需对应所要安装Filebeat 版本。 ```bash echo "deb [signed-by=/usr/share/keyrings/elastic-keyring.gpg] https://artifacts.elastic.co/packages/7.x/apt stable main" | \ sudo tee /etc/apt/sources.list.d/elastic-7.x.list ``` #### 更新本地APT缓存 再次刷新本地的软件包索引以包含新加入的存储库信息。 ```bash sudo apt-get update ``` #### 执行安装操作 现在可以正式执行 `apt-get install` 命令来进行 Filebeat安装了。 ```bash sudo apt-get install filebeat=7.10.2 ``` > **提示**: 这里假设选择了特定的小版本 (例如 7.10.2),可以根据实际需求调整该数值。 #### 启动与启用服务 完成上述步骤之后,启动 Filebeat 并设置其随系统开机自启[^4]。 ```bash sudo systemctl start filebeat sudo systemctl enable filebeat ``` #### 检查状态服务运行情况 最后确认 Filebeat 是否正常运作以及进程是否存在。 ```bash systemctl status filebeat ps aux | grep filebeat ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值