EFK的配置及使用(7.3)
原文地址:https://blog.csdn.net/weixin_44259356/article/details/98957055
EFK的安装以及部署见:CentOS安装及部署EFK(版本7.3)
链接:https://blog.csdn.net/weixin_44259356/article/details/98855854
配置Filebeat
官网参考文档:https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-configuration.html
修改配置文件filebeat.yml
文件位置/etc/filebeat
1定义日志文件的路径
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log
#- c:\programdata\elasticsearch\logs\*
上面配置将收集/var/log/文件夹下所有的.log结尾的日志文件,此处还支持Go Glob支持的所有模式。
要从预定义级别的子目录中获取所有文件,可以使用以下模式: /var/log//.log。这.log将从子文件夹中获取所有文件/var/log。它不从/var/log文件夹本身获取日志文件。目前,无法以递归方式获取目录的所有子目录中的所有文件。
2配置输出
Filebeat支持各种 输出,这里将事件直接发送到Elasticsearch,也可以发送到Logstash以进行其他处理。
配置如下
output.elasticsearch:
hosts:[“myEShost:9200”]
myEShost为要发送的主机地址
如果使用Kibana仪表板,配置Kibana端点如下。如果Kibana与Elasticsearch在同一主机上运行,就可以跳过此步骤。
setup.kibana:
host:“mykibanahost:5601”
例如,运行Kibana的计算机的主机名和端口mykibanahost:5601。如果在端口号后面指定路径,请包括方案和端口:http://mykibanahost:5601/path。
如果Elasticsearch和Kibana有密码则配置如下:
output.elasticsearch:
hosts:[“myEShost:9200”]
用户名:“filebeat_internal”
密码:“YOUR_PASSWORD”
setup.kibana:
host:“mykibanahost:5601”
用户名:“my_kibana_user”
密码:“YOUR_PASSWORD”
这里可以用明文密码,但是考虑到安全问题密码应该存放在secrets密钥库中。
注:该username和password为Kibana设置可选。如果未指定Kibana的凭据,则Filebeat将使用 为Elasticsearch输出指定的username和password。
要使用预先构建的Kibana仪表板,此用户必须具有 kibana_user 内置角色或同等权限。
3默认的安装配置地址
使用kibana查看录入日志信息
1启动Filebeat
首先确保Filebeat启动:这里用的是yum启动方式,其他启动方式参看我安装文档
sudo -i service filebeat start
然后用浏览器打开kibana地址如下:
2创建filebeat索引
点击左侧菜单栏最下边的设置
然后点击索引,下图第一个
点击创建索引
索引名字输入filebeat即可,如果有多个版本的filebeat则加入版本号,kibana会自动匹配
点击下一步,然后选择不使用时间筛选插件,点击创建就可以成功创建一个索引。
3查看采集日志
点击左侧菜单栏第二项,就可以查看filebeat搜集的日志了,如下: