ELK之路第三步——日志收集筛选logstash和filebeat

logstash和filebeat（偷懒版）

• 前言
• logstash
• • 1.下载
  • 2.修改配置文件
  • 3.测试启动
  • 4.文件启动
• filebeat
• • 1.下载
  • 2.配置
  • 3.启动

前言

上一篇，我们说到了可视化界面Kibana的安装，这一篇，会简单介绍logstash和filebeat的安装和配置。

下一篇，我将融会贯通，将所有的内容结合到一起详细说明：ELK之路第四步------整合！打通任督二脉

logstash

1.下载

打开官网：https://www.elastic.co/cn/downloads/logstash，进去后是最新版本，如果我们要过往版本请点击右侧，需要梯子。

我们这里还是选择7.3.0版本。

下载好后解压

tar -zxvf logstash-7.3.0.tar.gz

2.修改配置文件

打开jvm.options

还是先修改启动内存，这个根据你自己来定

-Xms256m
-Xmx256m

3.测试启动

bin/logstash -e 'input { stdin { } } output { stdout {} }'

等启动完成后，我们输入hello world

显示这个就成功了

4.文件启动

当然，我们常用配置文件来启动，创建一个logstash.conf文件：

input {
  heartbeat {
    interval => 10
    type => "heartbeat"
  }
}
 
output {
  stdout {
    codec => rubydebug
  }
}

然后输入命令来启动

bin/logstash -f logstash.conf

logstash的conf文件有三大主要配置字段：

• input ：规定了从哪里输入
• filter ：过滤规则，用于过滤筛选输入的信息
• output ：输出到哪里

filebeat

1.下载

有条件的用curl 下载，但是在国内这样下载是很困难的

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.3.0-linux-x86_64.tar.gz

第二种方式去官网下载，挂个梯子就行。

下载好了解压：

tar -zxvf filebeat-7.3.0-linux-x86_64.tar.gz

2.配置

新增一个配置文件filebeat_logstash.yml，filebeat启动的时候要用

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /Users/liuxg/data/apache_logs
 
output.logstash:
  hosts: ["localhost:5044"]

• filebeat.inputs：filebeat读取文件的一些配置
• output.logstash：输出路径

3.启动

bin/filebeat -e -c filebeat_logstash.yml

因为时间有限，本篇属实潦草，后面有时间了，我会详细的补充这两个技术的用法。