filebeat 安装配置

filebeat下载地址页：

https://www.elastic.co/cn/downloads/beats/filebeat

下载后直接使用yum安装即可。

配置文件位置：

vim /etc/filebeat/filebeat.yml

内容如下：

filebeat.inputs:
- type: log
  enabled: true # 开启这个数据源
  paths:
    - /var/log/nginx/*
  json.keys_under_root: true  # true将日志追加到根，false添加到非跟
  json.overwrite_keys: true
  
  tag: ["web","pc"]  # 自定义添加标签
  
  fields:  # 自定义字段
    from: mobile # 自定义的字段
    type: demo
  fields_under_toor: true # 自定义字段放在跟
  
filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml  # 模块位置
  reload.enabled: false
  
setup.template.settings:
  index.number_of_shards: 3  # 索引分片

setup.template.name: "template-01"  # 模板名称
setup.template.pattern: "template-01-*"

output.elasticsearch:
  hosts: ["192.168.1.161:9200"]
  index: "filebeat_nginx_%{+YYYY-MM}" # 索引轮询

#setup.kibana:
#  host: "192.168.1.162:5601"

收集nginx日志的配置示例：版本为6.8.0

filebeat.inputs:
- type: log
  enabled: false
  paths:
    - /var/log/nginx/*.log

filebeat.config.modules:
  path: ${path.config}/modules.d/*.yml
  reload.enabled: false

setup.template.settings:
  index.number_of_shards: 3

output.elasticsearch:
  hosts: ["192.168.1.161:9200"]

processors:
  - add_host_metadata: ~
  - add_cloud_metadata: ~

加载模块：

filebeat modules enable nginx

加载仪表盘：

filebeat setup

启动filebeat：

systemctl start filebeat.service