第 2 步：配置 Filebeat

Filebeat 模块为常见的日志格式提供了最快的入门体验，如果你使用的是 Filebeat 模块，请跳过本节，包括剩余的入门步骤，并直接转到快速入门：常用日志格式的模块。

要配置 Filebeat，请编辑配置文件，默认配置文件名为filebeat.yml，文件的位置因平台而异，要找到该文件，请参阅目录布局。

还有一个名为 filebeat.reference.yml 的完整示例配置文件，它显示了所有未弃用的选项。

以下是 filebeat.yml 文件的 filebeat 部分示例，Filebeat 使用大多数配置选项的预定义默认值。

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log
    #- c:\programdata\elasticsearch\logs\*

要配置 Filebeat：

定义日志文件的路径，对于最基本的 Filebeat 配置，你可以使用单个路径定义单个输入，例如：

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log

此示例中的输入收集路径 /var/log/*.log 中的所有文件，这意味着 Filebeat 将收集目录 /var/log/ 中以 .log 结尾的所有文件，此处还支持 Go Glob 支持的所有模式。

要从预定义级别的子目录中获取所有文件，可以使用以下模式：/var/log/*/*.log，这将从 /var/log 的子文件夹中获取所有 .log 文件。它不从 /var/log 文件夹本身获取日志文件，目前，无法以递归方式获取目录的所有子目录中的所有文件。

配置输出，Filebeat 支持各种输出，但通常你可以将事件直接发送到 Elasticsearch，也可以发送到 Logstash 以进行其他处理。

要将输出直接发送到 Elasticsearch（不使用 Logstash），请设置 Elasticsearch 安装的位置：

• 如果你在 Elastic Cloud 上运行托管的 Elasticsearch Service，请指定你的 Cloud ID，例如：

  cloud.id: "staging:dXMtZWFzdC0xLmF3cy5mb3VuZC5pbyRjZWM2ZjI2MWE3NGJmMjRjZTMzYmI4ODExYjg0Mjk0ZiRjNmMyY2E2ZDA0MjI0OWFmMGNjN2Q3YTllOTYyNTc0Mw=="

• 如果你在自己的硬件上运行 Elasticsearch，请设置 Filebeat 可以找到 Elasticsearch 安装的主机和端口，例如：

  output.elasticsearch:
   hosts: ["myEShost:9200"]

要将输出发送到 Logstash，请改为配置 Logstash 输出，对于所有其他输出，请参阅配置输出。

如果你计划使用随 Filebeat 提供的示例 Kibana 仪表板，请配置 Kibana 端点。

如果 Kibana 与 Elasticsearch 在同一主机上运行，​​则可以跳过此步骤。

setup.kibana:
  host: "mykibanahost:5601"

运行 Kibana 的计算机的主机名和端口，例如mykibanahost:5601，如果在端口号后面指定路径，请包括路径和端口：http://mykibanahost:5601/path。

如果 Elasticsearch 和 Kibana 是安全的，请在运行设置和启动 Filebeat 的命令之前在 filebeat.yml 配置文件中设置凭据。

• 如果你在 Elastic Cloud 上运行托管的 Elasticsearch Service，请指定你的云身份验证凭据，例如：

  cloud.auth: "elastic:YOUR_PASSWORD"

• 如果你在自己的硬件上运行 Elasticsearch，请指定 Elasticsearch 和 Kibana 凭据：

  output.elasticsearch:
   hosts: ["myEShost:9200"]
   username: "filebeat_internal"
   password: "YOUR_PASSWORD" 
  setup.kibana:
   host: "mykibanahost:5601"
   username: "my_kibana_user"  
   password: "YOUR_PASSWORD"

要测试配置文件，请转到安装 Filebeat 二进制文件的目录，然后使用指定的以下选项在前台运行：./filebeat test config -e，确保配置文件位于 Filebeat 所需的路径中（请参阅目录布局），或使用 -c 标志指定配置文件的路径。

在启动 Filebeat 之前，你应该查看配置文件中的配置选项，有关这些选项的更多信息，请参阅配置 Filebeat。

从 Filebeat 6.5 开始，你可以在 Kibana 的中心位置定义和管理 Filebeat 配置。有关更多信息，请参阅 Beats 中央管理，有关更多信息，请参阅 Beats 中央管理。

---

上一篇：第 1 步：安装 Filebeat