一、 概述

Filebeat是一款轻量级的数据收集器，它可以轻松地从各种日志源收集数据，并将其发送到日志管理系统。本文将详细介绍如何在CentOS系统中使用Filebeat来监控SysV服务的日志。

Filebeat是一个轻量级的日志收集器， 它可以轻松地从文件、系统日志、网络端口等地方收集数据，并将其传输到Elasticsearch、Logstash、Kibana等日志处理和分析工具。

二、 配置输出目标

• Filebeat配置文件示例

path: "/var/log/filebeat"  # 日志存储路径
name: "app-%{+}.log"  # 按日期轮转文件名
max_size: 100MB  # 单个文件最大大小
max_files: 5  # 保留的最大文件数量

• Elasticsearch配置示例

hosts: 
index: "app-logs-%{+}"  # 按日期创建索引，便于检索

• Logstash/Kafka配置 先转发至Logstash处理，再存储到Elasticsearch或其他存储。

三、 日志轮转策略

1. 系统级轮转 使用logrotate工具管理Filebeat日志文件，配置示例：

   # /etc/logrotate.d/filebeat
   /var/log/filebeat/*.log {
       daily
       rotate 7
       compress
       missingok
       notifempty
       postrotate
           kill -USR1 $
       endscript
   }

2. Filebeat内置轮转 通过logging.files参数配置：

   logging:
     files:
       path: "/var/log/filebeat"
       name: "filebeat"
       rotateeverybytes: 10485760  # 每10MB轮转
       keepfiles: 7

四、存储优化策略

• 索引生命周期管理 在Elasticsearch中配置索引的滚动、删除策略，比方说保留7天或30天的日志索引。
• 集中存储 将日志发送至分布式存储，适合大规模日志归档。
• 权限与平安 通过设置日志文件权限，避免敏感信息泄露。

五、 验证与监控

• 查看Filebeat日志路径：

  # 确认配置的日志路径
  grep "filebeat" /etc/filebeat/  # 查看实时日志
  tail -f /var/log/filebeat/

• 监控存储空间： 使用df -h检查磁盘使用情况，避免日志占满磁盘。

通过配置输出目标、 结合系统轮转工具及存储策略，可实现Filebeat在CentOS上的高效日志存储与管理。优先使用logrotate进行轮转，确保与系统日志管理机制兼容。

---