Filebeat提供了一個命令行界面,用於啟動Filebeat並執行常見任務,例如測試配置文件和加載儀表板。命令行還支持用於控制全局行為的全局標志。
命令: export 將配置或索引模板導出到stdout。 help 顯示任何命令的幫助。 keystore 管理秘密密鑰庫。 modules 管理配置的模塊。 run 運行Filebeat。如果在未指定命令的情況下啟動Filebeat,則默認使用此命令。 setup 設置初始環境,包括索引模板,Kibana儀表板(如果可用)和機器學習作業(如果可用)。 test 測試配置。 version 顯示有關當前版本的信息。
export命令
將配置或索引模板導出到stdout。您可以使用此命令快速查看配置或索引模板的內容。
filebeat export SUBCOMMAND [FLAGS]
SUBCOMMANDS
config
將當前配置導出到stdout。如果使用該-c標志,則此命令將導出在指定文件中定義的配置。
template
將索引模板導出到stdout。您可以指定--es.version和 --index標志以進一步定義導出的內容。
FLAGE
--es.version VERSION 與其一起指定時template,導出與指定版本兼容的索引模板。
-h, --help 顯示export命令的幫助。
--index BASE_NAME 與其一起指定時template,設置用於索引模板的基本名稱。如果未指定此標志,則默認基本名稱為filebeat。
例子:
filebeat export config
filebeat export template --es.version 6.2.4 --index myindexname
keystore命令
管理秘鑰庫
filebeat keystore SUBCOMMAND [ FLAGS ]
SUBCOMMAND
add KEY 將指定的密鑰添加到密鑰庫。使用該--force標志覆蓋現有密鑰。使用--stdin標志傳遞值stdin
create 創建一個密鑰庫來保存秘密。使用該--force標志覆蓋現有密鑰庫。
list 列出密鑰庫中的密鑰。
remove KEY 從密鑰庫中刪除指定的密鑰。
FLAGS
--force 適用於add和create子命令。使用時add,會覆蓋指定的密鑰。與之一起使用時create,會覆蓋密鑰庫。
--stdin 與之一起使用時add,使用stdin作為鍵值的來源。
-h,--help 顯示keystore命令的幫助。
例子:
filebeat keystore create
filebeat keystore add ES_PWD
filebeat keystore remove ES_PWD
filebeat keystore list
modules命令
管理配置的模塊。您可以使用此命令啟用和禁用modules.d目錄中定義的特定模塊配置。使用此命令所做的更改將保留,並用於后續運行的Filebeat。
filebeat modules SUBCOMMAND [FLAGS]
SUBCOMMANDS
disable MODULE_LIST 禁用以空格分隔的列表中指定的模塊。
enable MODULE_LIST 啟用以空格分隔的列表中指定的模塊。
list 列出當前啟用和禁用的模塊。
FLAGS
-h,--help 顯示export命令的幫助。
例子:
filebeat modules list
filebeat modules enable apache2 auditd mysql
run命令
運行Filebeat。如果在未指定命令的情況下啟動Filebeat,則默認使用此命令。
filebeat run [FLAGS] or filebeat [FLAGS]
FLAGS
-N, --N 禁用將事件發布到已定義的輸出。此選項僅用於測試Filebeat。
--cpuprofile FILE 將CPU配置文件數據寫入指定的文件。此選項對於Filebeat故障排除很有用。
-h, --help 顯示run命令的幫助。
--httpprof [HOST]:PORT 啟動http服務器以進行性能分析。此選項對於故障排除和分析Filebeat很有用。
--memprofile FILE 將內存配置文件數據寫入指定的輸出文件。此選項對於Filebeat故障排除很有用。
--modules MODULE_LIST 指定要運行的以逗號分隔的模塊列表。例如:
filebeat run --modules nginx,mysql,system
您可以使用該modules命令啟用和禁用特定模塊,而不是每次運行Filebeat時指定模塊列表。然后,當您運行Filebeat時,它將運行任何已啟用的模塊。
--once 使用該once標志時,Filebeat將啟動所有已配置的收集器和探測器,並運行每個探測器,直到收割機關閉。如果設置了--once標志,則還應設置close_eof為在達到文件末尾時關閉收割機。默認情況下,收割機在close_inactive到達后關閉。
--setup 加載示例Kibana儀表板。如果要在不運行Filebeat的情況下加載儀表板,請改用setup命令。
例子:filebeat run -e --setup
setup命令
設置初始環境,包括索引模板,Kibana儀表板(如果可用)和機器學習作業(如果可用)。
索引模板可確保在Elasticsearch中正確映射字段。
Kibana儀表板使您可以更輕松地在Kibana中可視化Filebeat數據。
機器學習作業包含分析異常數據所需的配置信息和元數據。
使用此命令而不是run --setup在不實際運行Filebeat和攝取數據的情況下設置環境。
filebeat setup [FLAGS]
FLAGS
--dashboards 僅設置Kibana儀表板。此選項從Filebeat包加載儀表板。有關更多選項,例如加載自定義儀表板,請參閱Beats開發人員指南 中的導入現有節拍儀表板。
-h, --help 顯示setup命令的幫助。
--machine-learning 僅設置機器學習作業配置。
--modules MODULE_LIST 指定以逗號分隔的模塊列表。當filebeat.yml文件中沒有定義模塊時,使用此標志可以避免錯誤。
--template 僅設置索引模板。
例子:filebeat setup --dashboards
test命令
測試配置
filebeat test SUBCOMMAND [FLAGS]
SUBCOMMAND
config 測試配置設置
output 測試Filebeat可以使用當前設置連接到輸出。
FLAGS
-h, --help 顯示test命令的幫助。
例子:filebeat test config
version命令
顯示有關當前版本的信息。
filebeat version [FLAGS]
-h, --help 顯示version命令的幫助。
全局標志
運行Filebeat時,可以使用這些全局標志。
-E, --E "SETTING_NAME=VALUE" 覆蓋特定的配置設置。您可以指定多個覆蓋。例如:filebeat -E "name=mybeat" -E "output.elasticsearch.hosts=["http://myhost:9200"]" 此設置適用於當前運行的Filebeat進程。Filebeat配置文件未更改。
-M, --M "VAR_NAME=VALUE" 覆蓋Filebeat模塊的默認配置。您可以指定多個變量覆蓋。例如:filebeat -modules=nginx -M "nginx.access.var.paths=[/var/log/nginx/access.log*]" -M "nginx.access.var.pipeline=no_plugins"
-c, --c FILE 指定用於Filebeat的配置文件。您在此處指定的文件是相對於path.config。如果-c未指定標志filebeat.yml,則使用默認配置文件。
-d, --d SELECTORS 啟用指定選擇器的調試。對於選擇器,您可以指定以逗號分隔的組件列表,也可以使用它-d "*"來啟用所有組件的調試。例如,-d "publish"顯示所有“發布”相關消息。
-e, --e 記錄到stderr並禁用syslog/file輸出。
--path.config 設置配置文件的路徑
--path.data 設置數據文件的路徑
--path.home 設置其他文件的路徑
--path.logs 設置日志文件的路徑
--strict.perms 設置對配置文件的嚴格權限檢查。默認是 -strict.perms=true
-v, --v 記錄INFO級別的消息。
