一、efk的介绍

EFK是去掉了logstash进行日志收集,而是使用了filebeat进行收集,使用filebeat的好处是其轻量级,和logstash资源消耗比起来,filebeat的使用量只有logstash的1/20.filebeat可以将收集起来的数据传输给logstash进行解析,也可以直接传给es进行存储和解析.

• filebeat下载地址:[filebea.tar.gz](https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-6.5.4-linux-x86_64.tar.gz
• es和kibana的安装请参考elk6.5的安装和使用

二、filebeat的安装和配置

[root@Filebeae filebeat-6.5.4-linux-x86_64]# ls
fields.yml  filebeat  filebeat.reference.yml  filebeat.yml  kibana  LICENSE.txt  module  modules.d  NOTICE.txt  README.md
[root@Filebeae filebeat-6.5.4-linux-x86_64]# vim filebeat.yml
- type: log
    enabled: true
 paths:
    - /var/log/messages
  multiline.pattern: '^[0-9]{4}-[0-9]{2}-[0-9]{2}\ [0-9]{2}:[0-9]{2}:[0-9]{2}'
  multiline.negate: true
  multiline.match: after
output.elasticsearch:
  hosts: ["192.168.31.132:9200"

启动
[root@Filebeae filebeat-6.5.4-linux-x86_64]# nohup ./filebeat &