ELK-Filebeat 연동 기본 설정

Filebeat - Logstash - ElasticSearch - Kibana

 

환경

모두 로컬호스트

 

버전

엘라스틱서치, Logstash, 키바나: 7.5.2

Filebeat: 7.6.0

 

Filebeat 수집 타입: log 

Logstash 포트: 5044

엘라스틱서치 포트: 9200

엘라스틱서치, 키바나는 기본 설정 사용(설정파일 변경 X)

 

 

설정

1. Filebeat

filebeat.yml

filebeat.inputs:
- type: log
    enabled: true
    paths:
    - D:\learning\log\*

output.logstash:
	hosts: ["localhost:5044"]

 

2. Logstash

logstash-sample-filebeat.conf

input {
  beats {
    port => "5044"
  }
}

output {
  elasticsearch {
    hosts => ["http://localhost:9200"]
    index => "%{[@metadata][beat]}-%{[@metadata][version]}-%{+YYYY.MM.dd}"
  }
}

 

실행 및 확인

엘라스틱서치 -> 키바나 -> Logstash -> Filebeat

 

1. 엘라스틱서치

실행

 

확인

 

2. 키바나

실행

 

확인

 

 

3. Logstash

실행

확인

input: 5044, output(logstash endpoint): 9600

4. Filebeat

실행

-e 옵션으로 bachground 가 아닌 foreground 로 실행

 

확인

로컬호스트 웹 어플리케이션을 실행.

 

 

Filebeat 에 설정된 log 경로에 쌓이는 로그.

 

 

Filebeat의 stdout 에서 open_files: 1 이 잡힌다.

 

 

키바나의 엘라스틱서치 인덱스 관리 페이지에서 확인