前言

我们将在生产环境服务器上面搭建filebeat,来进行日志的收集，收集好了传输到redis。

一、安装filebeat

下载及安装：
1、下载filebeat:

curl -L -O https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.6.2-linux-x86_64.tar.gz

2、解压filebeat:

tar xzvf filebeat-7.6.2-linux-x86_64.tar.gz

3、将解压包移至/user/local

mv filebeat-7.6.2-linux-x86_64 /usr/local/

二、配置filebeat

1 进入filebeat目录

cd /usr/local/filebeat-7.6.2-linux-x86_64

2 修改yml配置

filebeat.prospectors: 
         - input_type: log
           paths:#从哪些目录收集
            - /tmp/*.log

output.redis: #输出到redis
   hosts: ["IP:6379"] redis地址
   password: ""
   timeout: 60
   key: systemlog #传输的key值 需要与logstash设置的接收值一致
   db: 0

==================== 上面是主要的配置

filebeat.config.modules: #这里是filebeat模块配置 可以支持nginx等一些软件的日志收集
  # Glob pattern for configuration loading
  path: ${path.config}/modules.d/*.yml

  # Set to true to enable config reloading
  reload.enabled: false

3 运行filebeat

nohup ./filebeat -e -c filebeat.yml >/dev/null 2>&1 &

总结

到一章就完成了ELK所有的相关模块的搭建。现在有日志之后你就能在kibana里面去查看了。kibana支持KQL语法查询 这里附上KQL语法链接
https://docs.microsoft.com/zh-cn/sharepoint/dev/general-development/keyword-query-language-kql-syntax-reference?redirectedfrom=MSDN

下面是整个架构图。