117笔记问答Filebeat 是一个轻量级的日志收集器,用于将日志数据从多个源发送到如 Elasticsearch 或 Logstash 等中央存储库。在 CentOS 上配置 Filebeat 时,你需要编辑其配置文件,通常位于 /etc/filebeat/filebeat.yml。
以下是 Filebeat 配置文件的一些关键部分的解析:
-
filebeat.inputs: 这个部分定义了 Filebeat 应该监视哪些文件或目录。例如,你可以指定一个或多个日志文件的路径,Filebeat 将读取这些文件并将新行发送到输出模块。filebeat.inputs: - type: log enabled: true paths: - /var/log/*.log - /var/log/myapp/*.log
-
filebeat.modules: 这个部分允许你启用和配置 Filebeat 的模块。模块是预定义的配置集合,可以简化特定类型日志的收集和处理。filebeat.modules: path: ${config.home}/modules.d/*.yml reload.enabled: false -
output.elasticsearch: 这个部分定义了 Filebeat 应该将日志数据发送到哪个 Elasticsearch 实例。output.elasticsearch: hosts: ["localhost:9200"] index: "filebeat-%{[agent.version]}-%{+yyyy.MM.dd}" -
setup.template.settings: 这个部分允许你自定义 Elasticsearch 索引模板设置。setup.template.settings: index.number_of_shards: 3 index.codec: best_compression
-
setup.template.name: 这个部分定义了由 Filebeat 创建的索引模板的名称。setup.template.name: "filebeat"
-
setup.template.pattern: 这个部分定义了由 Filebeat 创建的索引的模式。setup.template.pattern: "filebeat-*"
-
xpack.monitoring.collection.enabled: 如果你启用了 X-Pack 监控,这个部分可以用来启用或禁用特定类型的指标收集。xpack.monitoring.collection.enabled: true
这些只是 Filebeat 配置文件中的一些基本元素。配置文件可以根据你的具体需求进行调整,例如添加处理器(processors)来修改事件数据,或者配置日志文件的滚动更新等。
在修改配置文件后,你需要重启 Filebeat 服务以使更改生效:
sudo systemctl restart filebeat
请注意,上述配置示例可能需要根据你的实际环境和需求进行调整。始终确保在生产环境中使用最新的配置选项和安全设置。