1. 环境准备

确保您的Debian系统已更新至最新版本， 并安装以下基础工具： bash sudo apt update && sudo apt upgrade -y sudo apt install wget vim -y 安装完成后确保您的系统中已经安装了Java环境，主要原因是Filebeat和Logstash都依赖于Java。

2. 安装Filebeat

通过Debian官方仓库安装Filebeat： bash sudo apt install filebeat -y 安装完成后 Filebeat默认配置文件位于/etc/filebeat/二进制文件位于/usr/share/filebeat/。

3. 配置Filebeat

编辑Filebeat配置文件/etc/filebeat/filebeat.yml 指定Logstash的IP和端口，比方说： yaml filebeat.inputs: - type: log enabled: true paths: - /path/to/your/log/files/* output.logstash: hosts: 配置完成后保存文件并退出。

4. 安装Logstash

同样通过Debian官方仓库安装Logstash： bash sudo apt install logstash -y 安装完成后 Logstash主配置目录为/etc/logstash/默认日志文件位于/var/log/logstash/。

5. 配置Logstash接收Filebeat数据

在Logstash中创建自定义配置文件， 定义输入→过滤→输出管道： conf input { beats { port => 5044 } } filter { # 在这里添加过滤配置，比方说使用Grok插件解析日志 grok { match => { "message" => "%{SYSLOGTIMESTAMP:timestamp} %{SYSLOGHOST:hostname} %{DATA:program}?: %{GREEDYDATA:message}" } } date { match => } } output { elasticsearch { hosts => index => "filebeat-%{+}" } stdout { codec => rubydebug } } 配置完成后保存文件并退出。

6. 启动并启用服务

依次启动Filebeat和Logstash， 并设置为开机自启： bash sudo systemctl start filebeat sudo systemctl enable filebeat sudo systemctl start logstash sudo systemctl enable logstash

7. 验证联调后来啊

• 检查服务状态：确认Filebeat和Logstash均正常运行： bash sudo systemctl status filebeat sudo systemctl status logstash
• 查看Filebeat日志：确认日志是否成功发送至Logstash： bash sudo journalctl -u filebeat -f
• 查看Logstash日志：确认是否接收到Filebeat数据： bash sudo tail -f /var/log/logstash/logstash-
• 检查Elasticsearch索引：若配置了Elasticsearch输出，可的索引： bash curl -X GET "localhost:9200/_cat/indices?v" 应能看到类似filebeat-2025.10.24的索引。

8. 常见问题排查

• 连接失败：检查Filebeat与Logstash的网络连通性，确认端口5044是否开放。
• 配置语法错误：使用以下命令测试Filebeat配置： bash sudo filebeat test config -e 测试Logstash配置： bash sudo logstash -f /etc/logstash// --_and_exit
• 日志无输出：检查Filebeat输入路径是否存在日志文件，确认Logstash过滤规则是否匹配日志格式。

通过以上步骤， 即可完成Debian系统下Filebeat与Logstash的联调，实现日志的收集、处理与存储。

---