Elastic Stack-04-Filebeat-7.10.0

一、安装

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.10.1-linux-x86_64.tar.gz
tar xzvf filebeat-7.10.1-linux-x86_64.tar.gz -C /

二、启用和配置数据收集模块编辑

Filebeat使用模块来收集和解析日志数据。

1 查看可以启用的模块列表

./filebeat modules list

2 在安装目录中，启用一个或多个模块。

2.1 启用 nginx 模块

例如，下面的命令启用 nginx 的配置模块：

./filebeat modules enable  nginx

这条命令实际上是把位于 modules.d/ 目录下的文件 nginx.yml.disabled 修改为了 nginx.yml

2.2 配置 nginx 模块

nginx.yml 文件内容：

- module: nginx
  access:
    # 开启搜集访问日志
    enabled: true
    # var.paths:
  error:
    # 开启搜集错误日志
    enabled: true
    #var.paths:
  ingress_controller:
    #它可以在Kubernetes环境中用于解析nginx日志的入口，默认禁用此选项
    enabled: false
    #var.paths:

var.paths
是用于给日志文件设置自定义路径的。
如果不设置此选项，Filebeat将根据您的操作系统选择路径。
比如：

• /var/log/nginx/assecc.log
• /var/log/nginx/error.log

var.paths 接收的值是一个数组，可以使用如下方式配置。

- module: nginx
  access:
    # 开启搜集访问日志
    enabled: true
    var.paths: ["/var/log/nginx/access.log*"]