带x-pack的elasticsearch6.3.2如何配置filebeat ?

要在带X-Pack（Elastic Stack的安全、监控和管理功能的扩展）的Elasticsearch 6.3.2中配置Filebeat，你需要遵循以下步骤来确保数据能够被正确地收集、处理并传输到Elasticsearch。请注意，X-Pack在Elastic Stack 7.0及以后版本中已成为默认功能，并更名为基本许可证的一部分，但配置原理相似。

1. 安装与启动Elasticsearch和Kibana

确保你已经安装了带有X-Pack插件的Elasticsearch 6.3.2以及Kibana，并且它们都已正确启动。X-Pack需要一个有效的许可证密钥来解锁其所有功能，包括安全性、监控和图形界面等。

2. 安装Filebeat

下载与Elasticsearch 6.3.2兼容的Filebeat版本，并进行安装。你可以从Elastic官方网站的历史版本页面找到对应的Filebeat版本。

3. 配置Filebeat

编辑Filebeat的配置文件（通常位于/etc/filebeat/filebeat.yml），以设置输出到Elasticsearch并启用X-Pack安全特性。以下是一个基础配置示例：

# 输出到Elasticsearch
output.elasticsearch:
  # Elasticsearch主机列表
  hosts: ["localhost:9200"]
  
  # X-Pack安全认证
  username: "elastic"
  password: "your_elastic_password" # 替换为你的Elasticsearch用户名和密码
  
  # SSL/TLS配置
  ssl.enabled: true
  ssl.certificate_authorities: ["/path/to/ca.crt"] # 如果Elasticsearch使用自签名证书，需要指定CA证书路径

# 启用模块或定义自定义输入
filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log # 根据实际情况配置日志文件路径

# 如有需要，可以在这里配置处理器和其他高级选项

4. 启动并测试Filebeat

保存配置文件后，重启Filebeat服务以应用更改。你可以使用如下命令来检查Filebeat的状态和日志，确保没有错误发生：

sudo service filebeat status
journalctl -u filebeat.service -f # 或者使用 'sudo filebeat -e' 运行在前台以查看实时日志

5. 验证数据流入Elasticsearch

登录到Kibana，检查是否能看到由Filebeat收集的数据。你可能需要在Kibana中创建索引模式来匹配Filebeat生成的索引。

注意：上述配置假设Elasticsearch运行在同一台机器上，并且使用了基本的HTTP和SSL配置。如果你的环境有所不同（例如，启用了TLS/SSL验证、使用特定用户角色等），则需要相应调整配置。此外，确保Elasticsearch和Kibana的X-Pack安全功能已正确配置，以便Filebeat能够成功认证并发送数据。