在CentOS系统上使用Filebeat进行日志分析是一个常见的任务，以下是一个详细的使用案例分享：

1. 安装Filebeat

首先，从Elastic官方网站下载适用于CentOS的Filebeat软件包。您可以使用以下命令下载最新版本的Filebeat：

wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.16.3-x86_64.rpm

然后，使用rpm命令安装Filebeat：

sudo rpm -vi filebeat-7.16.3-x86_64.rpm

2. 配置Filebeat

安装完成后，需要配置Filebeat以指定要收集和发送的日志文件。进入Filebeat目录并编辑filebeat.yml配置文件：

cd filebeat-7.16.3-x86_64
vim filebeat.yml

在配置文件中，您需要修改以下部分：

• filebeat.inputs: 指定要收集的日志文件路径。
• output.elasticsearch: 指定Elasticsearch的地址和端口。

例如：

filebeat.inputs:
- type: log
  enabled: true
  paths:
  - /var/log/nginx/access.log
  - /var/log/nginx/error.log

output.elasticsearch:
  hosts:
  - "elasticsearch:9200"

3. 启用nginx模块

如果需要收集nginx日志，可以启用nginx模块：

filebeat modules enable nginx

4. 测试并运行Filebeat

使用以下命令测试配置文件：

filebeat test config

如果没有错误，可以使用以下命令运行Filebeat：

systemctl start filebeat

并设置为系统启动时自动启动：

systemctl enable filebeat

5. 验证Filebeat连接

使用以下命令检查Filebeat是否成功连接到Elasticsearch：

curl -X GET "localhost:9200/_cluster/health?pretty"

如果一切正常，您应该能看到Elasticsearch的集群健康状态。

6. 在Kibana中查看日志数据

最后，在Kibana中查看和分析日志数据。打开Kibana，找到Analytics下的Dashboard，找到[Filebeat Nginx] Overview ECS这个Dashboard，您应该能看到所有的日志数据。

7. 监控和维护

• 使用Systemd服务管理：如果您的Filebeat是通过Systemd安装的，可以使用以下命令来检查其状态：

  sudo systemctl status filebeat
  

• 使用Filebeat自带的监控端点：Filebeat提供了一个内置的HTTP API，可以通过HTTP请求来获取其状态信息。默认情况下，这个端点的URL是 http://filebeat-host:8080/stats。您可以使用curl命令来访问这个端点：

  curl http://filebeat-host:8080/stats
  

  这将返回Filebeat的详细统计信息，包括输入、输出、处理事件的数量等。

• 使用Prometheus和Grafana：如果您已经在使用Prometheus进行监控，并且Filebeat已经配置了相应的Exporter（如filebeat_exporter），您可以通过Prometheus来抓取Filebeat的指标，并在Grafana中进行可视化展示。

通过以上步骤，您就可以在CentOS上使用Filebeat进行日志分析了。