Filebeat+ELK 部署
Node1节点(2C/4G):node1/192.168.67.11 Elasticsearch Kibana
Node2节点(2C/4G):node2/192.168.67.12 Elasticsearch
Apache节点:apache/192.168.67.10 Logstash Apache
Filebeat节点:filebeat/192.168.67.13 Filebeat
在 Filebeat 节点上操作
环境准备
1)安装 Filebeat
#上传软件包 filebeat-6.2.4-linux-x86_64.tar.gz 到/opt目录
[root@filebeat opt]# rz -E
rz waiting to receive.
[root@filebeat opt]# ls
filebeat-6.6.1-x86_64.rpm rh
解压
rpm -ivh filebeat-6.6.1-x86_64.rpm
移动filebeat 文件到/user/local/ 下
rpm 默认会安装到/etc/ 目录下,需要将filebeat 文件移动到/user/local/ 下
2)设置 filebeat 的主配置文件
先备份再修改
cd /usr/local/filebeat/
cp filebeat.yml filebeat.yml.bak
修改filebeat.yml 配置文件
vim filebeat.ymlfilebeat.prospectors:
#指定 log 类型,从日志文件中读取消息
- type: logenabled: truepaths:#指定监控的日志文件- /var/log/messages- /var/log/*.log#可以使用 fields 配置选项设置一些参数字段添加到 output 中fields:service_name: filebeatlog_type: logservice_id: 192.168.67.13--------------Elasticsearch output-------------------
(全部注释掉)----------------Logstash output---------------------
output.logstash:hosts: ["192.168.67.10:5044"] #指定 logstash 的 IP 和端口1
1
1
1
1
启动 filebeat
./filebeat -e -c filebeat.yml4)在 Logstash 组件所在节点上新建一个 Logstash 配置文件
cd /etc/logstash/conf.d
vim logstash.conf
input {
beats {
port => "5044"
}
}
output {
elasticsearch {
hosts => ["192.168.10.13:9200"]
index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"
}
stdout {
codec => rubydebug
}
}
vim /etc/logstash/conf.d/logstash.confinput {beats {port => "5044"}
}
output {elasticsearch {hosts => ["192.168.67.11:9200"]index => "%{[fields][service_name]}-%{+YYYY.MM.dd}"}stdout {code => rubydebug}
}
启动 logstash
logstash -f logstash.conf报错:
5)浏览器访问
浏览器访问http://192.168.67.11:5601 登录 Kibana
http://192.168.67.11:5601单击“Create Index Pattern”按钮添加索引“filebeat-*”,单击 “create” 按钮创建,单击 “Discover” 按钮可查看图表信息及日志信息。
