logstash虽然也支持从磁盘文件中收集数据,但是logstash自己本身还是比较重,对资源的消耗也比较大,尤其是在容器化环境,每个容器都部署logstash也太浪费资源,因此出现了轻量级的日志文件数据收集方案Filebeat,Filebeat将收集到的文件数据传给Logstatsh处理即可。
Filebeat部署架构
可以在每一台服务器或者每一个容器中安装Filebeat,Filebeat负责收集日志数据,然后将日志数据交给Logstash处理,Logstash在将数据导入ES。
安装Filebeat
下载安装包,然后解压即可。
官网下载地址:
https://www.elastic.co/cn/downloads/beats/filebeat下面以7.7.1版本为例
mac
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.7.1-darwin-x86_64.tar.gz
tar xzvf filebeat-7.7.1-darwin-x86_64.tar.gzlinux
curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.7.1-linux-x86_64.tar.gz
tar xzvf filebeat-7.7.1-linux-x86_64.tar.gzFilebeat配置
Filebeat的配置结构类似Logstash,也需要配置input和output,分别配置输入和输出,Filebeat使用yaml格式编写配置文件。
默认配置文件路径:
${安装目录}/filebeat.yml
/etc/filebeat/filebeat.yml
/usr/share/filebeat/filebeat.yml因为我们使用的是tar安装包安装,所以选择${安装目录}/filebeat.yml 路径。
配置例子:
# 配置采集数据源
filebeat.inputs:
- type: log
paths:
- /var/log/messages
- /var/log/*.log
# 配置输出目标,这里将数据投递给logstash
output.logstash:
# logstash地址
hosts: ["127.0.0.1:5044"]说明:
type为log类型,表示收集日志文件数据,paths是一个文件路径数组,这里扫描/var/log/messages文件和/var/log/目录下所有以log为扩展名的日志文件。
Logstash beat配置
配置Logstash的input,让Logstash可以接收Filebeat投递过来的数据。
input {
# 配置接收Filebeat数据源,监听端口为5044
# Filebeat的output.logstash地址保持跟这里一致
beats {
port => 5044
}
}
output {
# 将数据导入到ES中
elasticsearch {
hosts => ["http://localhost:9200"]
index => "tizi365"
}
}启动Filebeat
进入filebeat安装目录
./filebeat -c filebeat.yml如果配置PATH,直接启动即可。