概述

Filebeat是本地文件的日志数据采集器。 作为服务器上的代理安装，Filebeat监视日志目录或特定日志文件，tail file，并将它们转发给Elasticsearch或Logstash进行索引、kafka 等。

前面我们已经介绍了EFK中的"E"和"K"部署方面，下面着重介绍下"F"及最后的测试工作。

1、下载和安装key文件

sudo rpm --import https://packages.elastic.co/GPG-KEY-elasticsearch

2、 创建yum源文件

[root@localhost ~]# vim /etc/yum.repos.d/elk-elasticsearch.repo
[elastic-6.x]
name=Elastic repository for 6.x packages
baseurl=https://artifacts.elastic.co/packages/6.x/yum
gpgcheck=1
gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch
enabled=1
autorefresh=1
type=rpm-md

这里也可以直接配置本地yum源。

3、开始安装

sudo yum install filebeat

4、修改配置文件如下

日志收集，指定目录：

日志输出，绑定kibana、elasticsearchIP地址：

5、测试启动

./filebeat -e -c filebeat.yml -d "plish"

后台启动（将所有标准输出及标准错误输出到/dev/null空设备）：

nohup ./filebeat -e -c filebeat.yml >/dev/null 2>&1 &

6、验证EFK

登录kibana，搜索到filebeat收集的日志证明塔建成功

当浏览器显示上图就表示EFK搭建成功了！！！

到这里我们的EFK日志系统就搭建完成了，其实"F”也有一些人是用fluentd来做代替，这个fluentd支持所有主流日志类型，插件支持较多，性能表现也是不错的，大家可以自己组合测试下。后面会分享更多devops和DBA方面内容，感兴趣的朋友可以关注一下~