ELK + filebeat 기본 설정 filebeat (1)

기본적인 기능에 대한 설정이다. 

엘라스틱의 버전은 6.8 (한글형태소 노리)으로 진행하여 로그스태시와 키바나도 함께 6.8로 하였다.

사전 준비 : 엘라스틱서치 , 로그스태시 , 키바나 , 파일비트 6.8버전 다운

다운로드 및 설치:

wget https://artifacts.elastic.co/downloads/beats/filebeat/filebeat-7.12.0-x86_64.rpm

sudo rpm -vi filebeat-7.12.0-x86_64.rpm

설치과정은 생략

기본적인 흐름은 filebeat (수집) -> logstash (가공?) -> elastic (저장) -> kibana (뷰) 라고 보면 된다.

filebeat 부터 보면 기본적인 설정은 filebeat.yml 에서 해주면 된다. 옵션이 많다.

톰캣 로그를 확인 하기 위해 

#=========================== Filebeat inputs =============================

filebeat.inputs:

# Each - is an input. Most options can be set at the input level, so
# you can use different inputs for various configurations.
# Below are the input specific configurations.

- type: log

  # Change to true to enable this input configuration.
  enabled: true

  # Paths that should be crawled and fetched. Glob based paths.
  paths:
    - /tomcat/logs/*.log
    #- c:\programdata\elasticsearch\logs\*

paths 부분에 톰캣로그 경로를 넣어주었다. 사용에 맞게 원하는 로그의 경로를 넣어주면 된다.

#================================ Outputs =====================================

# Configure what output to use when sending the data collected by the beat.

#-------------------------- Elasticsearch output ------------------------------
#output.elasticsearch:
  # Array of hosts to connect to.
  #hosts: ["localhost:9200"]

  # Enabled ilm (beta) to use index lifecycle management instead daily indices.
  #ilm.enabled: false

  # Optional protocol and basic auth credentials.
  #protocol: "https"
  #username: "elastic"
  #password: "changeme"

#----------------------------- Logstash output --------------------------------
output.logstash:
  # The Logstash hosts
  hosts: ["localhost:5044"]

  # Optional SSL. By default is off.
  # List of root certificates for HTTPS server verifications
  #ssl.certificate_authorities: ["/etc/pki/root/ca.pem"]

  # Certificate for SSL client authentication
  #ssl.certificate: "/etc/pki/client/cert.pem"

  # Client Certificate Key
  #ssl.key: "/etc/pki/client/cert.key"

이어 output 부분에 엘라스틱과 로그스태시가 있는데 필요에 맞게 주석을 해제 후 사용해주면 된다. 

나는 로그스태시로 보내기 때문에 일단 로그스태시에 hosts 의 주석을 해제하였다.

이외에도 다양한 옵션이 있고 추후에 기회가 된다면 알아볼 예정이다.