在以前,配置ELK的数据采集端的时候,我们使用的是Logstash,那时候的抓取文件和Logstash本身的配置都是写在同一个配置文件之中的【logstash.yml】。

不过在Filebeat之后,服务本身的配置文件以及采集目标的配置日志可以拆分开来:

  1. filebeat.yml
  2. modules.d/*

下面,会呈现,在我的环境中的这一方面的配置细节。


先看看Filebeat的服务配置。

默认情况下Filebeat的配置都位于文件路径【/etc/filebeat】

服务配置文件:【/etc/filebeat/filebeat.yml】

在上面的这段配置中,清注意这里的配置:

可以看到,除了服务本身的配置定义,其他的具体的对象的配置定义都在路径【/etc/filebeat/modules.d/*.yml】

来看看针对不同的对象Filebeat给出的配置:

可以看到,其中定义了很多不同的对象【模块】。

但是大体上,从状态划分,可以有两类:enable / disable

通过【filebeat】命令可以对具体的模块的状态做出修改,如下:

了解了Filebeat的模块的管理,那么就继续看看具体的模块的配置:

可以看到,配置文件中定义了module的名称【system】并且包含两个分类【syslog / auth】

其实,这里的配置并不是随便写的,而是需要在【/usr/share/filebeat/module】中对应的module文件夹中真实存在。

具体如下:

如果,上面的配置文件中指定的具体配置,在【/usr/share/filebeat/module】里面其实不存在,则在稍后的【filebeat setup】中会遇到错误,如下:

如果是正常的情况,则表现是这样的:


通过上面的module的配置文件,相信你应该理解了,如果需要添加对某个文件的抓取,应该怎么设置。

如下:

在上面的【var.paths】中设置。
上面已经给出了设置多个路径的例子。


Finished。

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

隐藏
变装