日志多了,怎么才省事?filebeat-6.4.0就是个挺顺手的小工具,专门干这事儿。它属于Elastic Stack里的一个轻量级角色,主要负责把服务器上的日志搬运到Logstash或者Elasticsearch里去。省资源,稳定性也不错,适合在一堆服务器上跑着。
filebeat的核心就是那个可执行文件,放在压缩包里,直接跑就行。再就是config目录,里面有个filebeat.yml配置文件,你可以在这儿定制要监控哪些日志、发去哪儿、日志要怎么记录等等,写清楚了,一条龙服务。
说到模块化,modules目录就比较方便,像Apache、Nginx这些常见服务的日志格式,Filebeat 都提前帮你配好了,启用一下就能用,省心。还有libbeat,它的是底层支持,咱们平时不用管,但它是整个系统跑得稳的关键。
文档在docs目录里,安装、配置、各种小细节都写得比较清楚,遇到问题翻翻就好。另外别忘了看licenses,了解一下使用限制,虽然一般用不上,但了解总没坏处。
使用流程也简单,filebeat.yml配好,初始化一下,如果你连的是 Elasticsearch,它会自动建好索引模板,一条命令启动,就开始采日志了。效率高,配置灵活,响应也快,配合 Kibana 还能看到漂亮的图表。
如果你日志来源多又想少折腾,filebeat真挺合适的。和Logstash、Kibana配合起来,搞个日志平台也不难。如果你还在手动拉日志,不妨试试它。