EFK的配置及使用（7.3）

EFK的配置及使用（7.3）

原文地址：https://blog.csdn.net/weixin_44259356/article/details/98957055

EFK的安装以及部署见：CentOS安装及部署EFK（版本7.3）
链接：https://blog.csdn.net/weixin_44259356/article/details/98855854

配置Filebeat

官网参考文档：https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-configuration.html
修改配置文件filebeat.yml
文件位置/etc/filebeat

1定义日志文件的路径

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log
#- c:\programdata\elasticsearch\logs\*

上面配置将收集/var/log/文件夹下所有的.log结尾的日志文件，此处还支持Go Glob支持的所有模式。
要从预定义级别的子目录中获取所有文件，可以使用以下模式： /var/log//.log。这.log将从子文件夹中获取所有文件/var/log。它不从/var/log文件夹本身获取日志文件。目前，无法以递归方式获取目录的所有子目录中的所有文件。

2配置输出

Filebeat支持各种 输出，这里将事件直接发送到Elasticsearch，也可以发送到Logstash以进行其他处理。
配置如下

output.elasticsearch：
  hosts：[“myEShost：9200”]

myEShost为要发送的主机地址

如果使用Kibana仪表板，配置Kibana端点如下。如果Kibana与Elasticsearch在同一主机上运行，就可以跳过此步骤。

setup.kibana：
  host：“mykibanahost：5601”

例如，运行Kibana的计算机的主机名和端口mykibanahost:5601。如果在端口号后面指定路径，请包括方案和端口：http://mykibanahost:5601/path。

如果Elasticsearch和Kibana有密码则配置如下：

output.elasticsearch：
  hosts：[“myEShost：9200”] 
  用户名：“filebeat_internal” 
  密码：“YOUR_PASSWORD”
setup.kibana：
  host：“mykibanahost：5601” 
  用户名：“my_kibana_user” 
  密码：“YOUR_PASSWORD”

这里可以用明文密码，但是考虑到安全问题密码应该存放在secrets密钥库中。
注：该username和password为Kibana设置可选。如果未指定Kibana的凭据，则Filebeat将使用 为Elasticsearch输出指定的username和password。
要使用预先构建的Kibana仪表板，此用户必须具有 kibana_user 内置角色或同等权限。

3默认的安装配置地址

使用kibana查看录入日志信息

1启动Filebeat

首先确保Filebeat启动：这里用的是yum启动方式，其他启动方式参看我安装文档
sudo -i service filebeat start
然后用浏览器打开kibana地址如下：

2创建filebeat索引

点击左侧菜单栏最下边的设置

然后点击索引，下图第一个

点击创建索引

索引名字输入filebeat即可，如果有多个版本的filebeat则加入版本号，kibana会自动匹配

点击下一步，然后选择不使用时间筛选插件，点击创建就可以成功创建一个索引。

3查看采集日志

点击左侧菜单栏第二项，就可以查看filebeat搜集的日志了，如下：