2-三、配置Filebeat

配置Filebeat

提示： Filebeat modules 爲常見的日誌格式提供了最快的入門操做。 若是要使用Filebeat模塊，請跳過本節，包括剩餘的入門步驟，並直接轉到快速入門： Quick start: modules for common log formats .

要配置Filebeat，請編輯配置文件。 對於rpm和deb，能夠在/etc/filebeat/filebeat.yml找到配置文件。 在Docker下，它位於/usr/share/filebeat/filebeat.yml。 對於mac和win，請查看剛剛提取的存檔。 還有一個名爲filebeat.reference.yml的完整示例配置文件，它顯示了全部未棄用的選項。

提示： 有關配置文件結構的更多信息，請參閱Beats Platform Reference的 Config File Format 部分。

如下是filebeat.yml文件的filebeat部分示例。 Filebeat爲大多數配置選項使用預約義默認值。

     filebeat.inputs:

- type: log

enabled: true

paths:

- /var/log/*.log

#- c:\programdata\elasticsearch\logs\*

配置Filebeat

一、定義日誌文件的路徑（或多個路徑）。

對於最基本的Filebeat配置，可使用單個路徑定義單個input。 例如：

filebeat. inputs:

                   - type: log

                     enabled: true

                     paths:

                         - /var/log/*.log

此示例中的input收集路徑/var/log/*.log中的全部文件，這意味着Filebeat將收集目錄/var/log中的全部以.log結尾的文件。 也支持Golang Glob支持的全部模式。

要從預約義的子目錄中獲取全部文件，可使用如下模式：/var/log/*/*.log。 這將從/var/log/的子目錄中提取全部.log文件。 它不會從/var/log/文件夾自己獲取日誌文件。 目前沒法遞歸獲取目錄全部子目錄中的全部文件。

二、配置輸出。 Filebeat支持各類outputs，但一般能夠將事件直接發送到Elasticsearch，也能夠發送到Logstash以進行額外處理。

要將輸出直接發送到Elasticsearch（不使用Logstash），請設置Elasticsearch安裝的位置：

• 若是在Elastic Cloud上運行 hosted Elasticsearch Service ，請指定Cloud ID。

例如： cloud.id: "staging:dXMtZWFzdC0xLmF3cy5mb3VuZC5pbyRjZWM2ZjI2MWE3NGJmMjRjZTMzYmI4ODExYjg0Mjk0ZiRjNmMyY2E2ZDA0MjI0OWFmMGNjN2Q3YTllOTYyNTc0Mw=="

• 若是在本身的硬件上運行Elasticsearch，請設置Filebeat能夠找到Elasticsearch安裝的主機和端口。 例如：

output. elasticsearch:

                        hosts: ["192.168.1.42:9200"]

• 若是要將輸出發送到Logstash，請確保在步驟3：配置Filebeat中配置Logstash輸出以使用Logstash。更多插件查閱：Configure the output.

三、若是打算使用隨Filebeat提供的示例Kibana儀表板，請配置Kibana端點。若是Kibana與Elasticsearch在同一主機上運行，則能夠跳過此步驟。

setup. kibana:

              host: "localhost:5601"

其中host是運行Kibana的機器的主機名和端口，例如localhost:5601。

注意：若是在端口號後面指定路徑，則須要包含協議和端口：http://localhost:5601/path。

四、若是已經在filebeat.yml配置文件中確保了Elasticsearch和Kibana的安全性，那麼在運行設置並啓動Filebeat的命令以前，須要在配置文件中指定憑證。 例如：

• 若是在Elastic Cloud上運行咱們hosted Elasticsearch Service 請指定雲身份驗證憑據。 例如：

cloud.auth: "elastic:YOUR_PASSWORD"

• 若是在本身的硬件上運行Elasticsearch，請指定Elasticsearch和Kibana憑據：

output. elasticsearch:

                   hosts: ["myEShost:9200"]

                   username: "filebeat_internal"

                   password: "{pwd}"

              setup.kibana:

                  host: "mykibanahost:5601"

                  username: "my_kibana_user"

                  password: "{pwd}"

其中： password: "{pwd}" ：這些示例顯示了一個硬編碼的密碼，但應該將敏感值存儲在祕密密鑰庫中。

其中： username: "my_kibana_user" ：Kibana的用戶名和密碼設置是可選的。 若是沒有爲Kibana指定憑證，Filebeat將使用爲Elasticsearch輸出指定的用戶名和密碼。

若是打算設置Kibana儀表板，則用戶必須具備kibana_user內置角色或同等權限。

在開始filebeat以前，應該查看配置文件中的配置選項。 有關這些選項的更多信息，請參閱配置 Configuring Filebeat .

參考連接：

https://www.elastic.co/guide/en/beats/filebeat/6.3/filebeat-configuration.html