ELK搭建（二）：安装、配置Filebeat客户端

Filebeat客户端是个轻量级，资源友好型的服务器日志收集工具；可以将服务器上的日志发送到Logstash实例中做进一步处理分析。Filebeat在可靠性和低延迟上都有很好的保障。并且对于主机资源影响很小，其中的Beats input插件可以有效的减少Logstash实例对资源的需求。

下载并安装Filebeat（Winodws系统上）：

1. 下载压缩包，点击到下载页面。

2. 解压到某一个目录里面，并将解压后的目录重命名为Filebeat。

3. 以管理员身份运行PowerShell（Windows7系统自带，xp需要下载安装）。

4. 在PowerShell命令行窗口中，运行下面的命令，将Filebeat安装为系统服务。

PS > cd 'D:\Program Files\Filebeat'

PS D:\Program Files\Filebeat> .\install-service-filebeat.ps1

可能系统会禁止执行脚本，得到如下的错误：

执行下面的命令：

PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-filebeat.ps1

查看系统中的服务列表：

配置Filebeat：

在Windows系统下，在解压后的目录里面，可以发现配置文件的例子filebeat.full.yml，展示了最新可用的配置项。

Filebeat配置文件:

filebeat.yml

1. 配置日志文件的目录（支持多个）。

filebeat.prospectors:

- input_type: log

  paths:

       - /var/log/*.log

Filebeat会收集所有在/var/log目录下的以.log后缀名结束的文件。

2. 通过设置ip地址和端口号，将输出内容发送到Elasticsearch上。

output.elasticsearch:

    hosts: ["127.0.0.1:9200"]

3. 配置Filebeat使用Logstash。

前提：安装并配置Logstash，从Beats接收事件。

修改Filebeat配置文件，禁用Elasticsearch输出（注释掉），启用Logstash输出：

#----------------------------- Logstash output --------------------------------

output.logstash:

hosts: ["127.0.0.1:5044"]