配置Filebeat将数据直接输入elasticsearch

goodmm

配置Filebeat
　　Filebeat模块为常见的日志格式提供了最快的入门体验。请参阅常见日志格式的快速入门 以了解如何开始使用模块。如果您使用Filebeat模块开始使用，您可以跳过本节中的内容（包括剩余的入门步骤），并直接进入常见日志格式快速入门 页面。
　　要配置Filebeat，请编辑配置文件。对于rpm和deb，你会在找到配置文件/etc/filebeat/filebeat.yml。在Docker下，它位于/usr/share/filebeat/filebeat.yml。对于mac和win，请查看刚刚提取的存档。还有一个完整的示例配置文件称为filebeat.reference.yml 。
　　有关配置文件结构的更多信息，请参阅Beats平台参考的 配置文件格式部分 。
　　以下是filebeat该filebeat.yml文件部分的示例。Filebeat为大多数配置选项使用预定义的默认值。

filebeat.inputs：
-  type：log
enabled：true
paths：
-
/ var / log / * 。log ＃ -  c：\ programdata \ elasticsearch \ logs \ *
　　配置Filebeat：

• 　　定义日志文件的路径（或路径）。
  　　对于最基本的Filebeat配置，您可以使用单个路径定义单个输入。例如：
  
  filebeat.inputs:
  - type: log
  enabled: true
  paths:
  - /var/log/*.log
  　　此示例中的输入收集路径中的所有文件/var/log/*.log，这意味着Filebeat将收集以该目录/var/log/结尾的所有文件.log。
  　　要从预定义级别的子目录中获取所有文件，可以使用以下模式： /var/log/*/*.log。这.log将从子文件夹中获取所有文件/var/log。它不会从/var/log文件夹本身获取日志文件。目前无法递归获取目录所有子目录中的所有文件。
  
  
• 　　如果直接将输出发送到Elasticsearch（而不是使用Logstash），请设置Filebeat可以找到Elasticsearch安装的IP地址和端口：
  
  output.elasticsearch：
  hosts：[“192.168.1.41：9200”]
  
• 　　如果您打算使用随Filebeat提供的示例Kibana仪表板，请配置Kibana端点：
  
  setup.kibana：
  host：“localhost：5601”
  　　哪里host是主机名，其中Kibana运行，例如机器的端口，localhost:5601。
  　　如果您在端口号后面指定路径，则需要包含方案和端口：http://localhost:5601/path。
  
  
• 　　如果您已经确保了Elasticsearch和Kibana的安全性，那么在运行设置并启动Filebeat的命令之前，您需要在配置文件中指定凭证。例如：
  
  output.elasticsearch:
  hosts: ["myEShost:9200"]
  username: "filebeat_internal"
  password: "{pwd}"
  setup.kibana:
  host: "mykibanahost:5601"
  username: "my_kibana_user"  
  password: "{pwd}"
  
  
  这些示例显示了一个硬编码的密码，但您应该将敏感值存储在秘密密钥库中。
  
  
  
  
  
  该username和password为Kibana设置可选。如果未指定Kibana的凭据，则Filebeat将使用 为Elasticsearch输出指定的username和password。
  
  
  
  如果您打算设置Kibana仪表板，则用户必须具有kibana_user 内置角色或等效权限。