Beats 是 Elastic Stack 中的數據采集器,用于從各種來源(日志、指標、網絡數據等)輕量級收集數據,而 Elasticsearch 是搜索和分析引擎,負責存儲、索引和快速檢索數據。二者結合可搭建強大的數據分析管道(如 ELK Stack)。以下是核心結合方式和工作流程:
核心結合方式
-
直接輸出到 Elasticsearch
Beats 配置中指定 Elasticsearch 集群地址和認證信息,數據直接寫入 ES:output.elasticsearch:hosts: ["https://es-node1:9200", "https://es-node2:9200"]username: "beats_writer"password: "your_password"ssl.enabled: true -
通過 Logstash 中轉(推薦復雜場景)
若需數據過濾、富化或緩沖,可先發到 Logstash 處理再寫入 ES:output.logstash:hosts: ["logstash-host:5044"]Logstash 配置示例(過濾后輸出到 ES):
input { beats { port => 5044 } } filter {grok { match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL:level} %{GREEDYDATA:message}" } } } output { elasticsearch { hosts => ["es-host:9200"] } } -
結合 Kibana 可視化
數據進入 Elasticsearch 后,通過 Kibana 創建儀表板(如使用 Filebeat 的預建看板分析 Nginx 日志)。
關鍵配置項
| 組件 | 配置重點 |
|---|---|
| Beats | - 啟用模塊(filebeat modules enable nginx)- 配置輸入(日志路徑、類型) - 設置 ES/Logstash 輸出 |
| Elasticsearch | - 創建索引生命周期策略(ILM) - 設置用戶權限(避免使用 elastic 超級用戶)- 配置 TLS 加密通信 |
| Kibana | - 導入 Beats 預置儀表板(filebeat setup --dashboards) |
典型工作流
最佳實踐
-
安全加固
- 使用 TLS 加密 Beats → ES/Logstash 通信
- 通過 Elasticsearch API 密鑰或角色限權(如:
beats_writer角色僅擁有create_index和manage權限)
-
性能優化
- Bulk 寫入:調整
bulk_max_size(默認 50 事件)提高吞吐 - ILM 管理:自動滾動舊索引到熱/冷層,刪除過期數據
- Beats 輕量化:避免在 Beats 端做復雜處理(交給 Logstash/ES Ingest Pipeline)
- Bulk 寫入:調整
-
高可用
output.elasticsearch:hosts: ["es-node1:9200", "es-node2:9200", "es-node3:9200"] # 多節點集群loadbalance: true # 負載均衡
常見場景示例
- Nginx 訪問日志分析
啟用 Filebeat Nginx 模塊 → 自動解析日志字段 → Kibana 查看流量/狀態碼儀表板。 - 服務器監控
Metricbeat 收集 CPU/內存 → ES 存儲 → Kibana 的 Metrics 應用生成實時監控圖。 - 安全審計
Auditbeat 跟蹤系統調用 → 結合 Elastic SIEM 檢測異常行為。
故障排查
- 檢查 Beats 狀態
./filebeat test output # 測試 ES/Logstash 連接 ./filebeat -e -d "*" # 調試模式查看日志 - 驗證 ES 數據
curl -u user:pass 'http://es-host:9200/filebeat-*/_search?pretty'
通過以上步驟,Beats 可高效地將數據輸入 Elasticsearch,構建端到端的實時數據分析系統。根據數據量和復雜度選擇直連 ES 或 Logstash 中轉方案,并始終關注安全與性能配置。
)
)
 egui (0.32.1) 學習筆記(逐行注釋)(十七)設置主題)
