5月 4th, 2025 
CentOS上的Filebeat和Logstash是Elastic Stack(以前称为ELK Stack)的组成部分,用于日志数据的收集、处理和转发。以下是它们如何配合使用的简要概述:
Filebeat
- 安装:
- 在CentOS上,可以使用EPEL仓库或直接从Elastic官网下载安装Filebeat。
- 配置:
- Filebeat的主要配置文件是
filebeat.yml。 - 配置Filebeat以监视特定的日志文件或目录,并定义输出目标(通常是Logstash)。
- 运行:
- 启动Filebeat服务,并确保它作为后台进程运行。
- 日志转发:
- Filebeat读取日志文件,并将其发送到配置的输出目标(Logstash)。
Logstash
- 安装:
- 同样,可以从Elastic官网下载并安装Logstash。
- 配置:
- Logstash的配置文件通常是
logstash.conf。 - 在配置文件中,定义输入插件(如Filebeat)、过滤器插件(用于处理日志数据)和输出插件(如Elasticsearch)。
- 运行:
- 启动Logstash服务,并确保它正在监听来自Filebeat的连接。
- 数据处理:
- Logstash接收来自Filebeat的日志数据,应用过滤器进行必要的转换和处理,然后将处理后的数据发送到Elasticsearch或其他存储系统。
配置示例
Filebeat配置 (/etc/filebeat/filebeat.yml)
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log
output.logstash:
hosts: ["localhost:5044"]
Logstash配置 (/etc/logstash/conf.d/logstash.conf)
input {
beats {
port => 5044
}
}
filter {
# 在这里添加过滤器插件,例如grok、mutate等
}
output {
elasticsearch {
hosts => ["localhost:9200"]
index => "filebeat-%{+YYYY.MM.dd}"
}
}
注意事项
- 确保Filebeat和Logstash之间的网络连接正常。
- 根据需要调整Filebeat和Logstash的资源分配(CPU、内存)。
- 定期检查日志文件和Elasticsearch索引,以确保数据正确传输和处理。
- 考虑使用Elasticsearch的X-Pack安全功能来保护您的数据。
通过以上步骤,您可以在CentOS上成功配置和使用Filebeat和Logstash来收集、处理和转发日志数据。
Posted in 
