需要学习的地方：概念，用法，模块使用

Elastic Beats介绍

Elastic Stack传统上由三个主要组件（Elasticsearch，Logstash和Kibana）组成，早已脱离了这种组合，现在也可以与名为“ Beats”的第四个元素结合使用--一个针对不同用例的日志运送者系列。现在网上有一种说法叫做ELKB，这里的B就是指的beats.

在集中式日志记录中，数据管道包括三个主要阶段：聚合，处理和存储。在ELK堆栈中，传统上，前两个阶段是堆栈工作量Logstash的职责。执行这些任务需要付出一定的代价。由于与Logstash的设计有关的内在问题，性能问题变得经常发生，尤其是在复杂的管道需要大量处理的情况下。将Logstash的部分职责外包的想法也应运而生，尤其是将数据提取任务转移到其他工具上。

Beats到底是什么呢

Beats是轻量级（资源高效，无依赖性，小型）和开放源代码日志发送程序的集合，这些日志发送程序充当安装在基础结构中不同服务器上的代理，用于收集日志或指标（metrics）。这些可以是日志文件（Filebeat），网络数据（Packetbeat），服务器指标（Metricbeat）或Elastic和社区开发的越来越多的Beats可以收集的任何其他类型的数据。收集后，数据将直接发送到Elasticsearch或Logstash中进行其他处理。Beats建立在名为libbeat的Go框架之上，该框架用于数据转发，这意味着社区一直在开发和贡献新的Beats。

Filebeat

顾名思义，Filebeat用于收集和传送日志文件，它也是最常用的Beat。 Filebeat如此高效的事实之一就是它处理背压的方式-因此，如果Logstash繁忙，Filebeat会减慢其读取速率，并在减速结束后加快节奏。

Filebeat几乎可以安装在任何操作系统上，包括作为Docker容器安装，还随附用于特定平台（例如Apache，MySQL，Docker等）的内部模块，其中包含这些平台的默认配置和Kibana对象。

Packetbeat

网络数据包分析器Packetbeat是第一个引入的beat。 Packetbeat捕获服务器之间的网络流量，因此可用于应用程序和性能监视。

Packetbeat可以安装在受监视的服务器上，也可以安装在其专用服务器上。 Packetbeat跟踪网络流量，解码协议并记录每笔交易的数据。 Packetbeat支持的协议包括：DNS，HTTP，ICMP，Redis，MySQL，MongoDB，Cassandra等。

Metricbeat

Metricbeat是一种非常受欢迎的beat，它收集并报告各种系统和平台的各种系统级度量。 Metricbeat还支持用于从特定平台收集统计信息的内部模块。您可以使用这些模块和称为指标集的metricsets来配置Metricbeat收集指标的频率以及要收集哪些特定指标。

Heartbeat

Heartbeat是用于“uptime monitoring”的。本质上，Heartbeat是探测服务以检查它们是否可访问的功能，例如，它可以用来验证服务的正常运行时间是否符合您的SLA。您要做的就是为Heartbeat提供URL和正常运行时间指标的列表，以直接发送到Elasticsearch或Logstash以便在建立索引之前发送到您的堆栈。

Auditbeat

Auditbeat可用于审核Linux服务器上的用户和进程活动。与其他传统的系统审核工具（systemd，auditd）类似，Auditbeat可用于识别安全漏洞-文件更改，配置更改，恶意行为等。

Winlogbeat

Winlogbeat仅会引起Windows系统管理员或工程师的兴趣，因为它是专门为收集Windows事件日志而设计的节拍。它可用于分析安全事件，已安装的更新等。

Functionbeat

Functionbeat被定义为“serverless”的发件人，可以将其部署为收集数据并将其发送到ELK堆栈的功能。 Functionbeat专为监视云环境而设计，目前已针对Amazon设置量身定制，可以部署为Amazon Lambda函数，以从Amazon CloudWatch，Kinesis和SQS收集数据。

如何使用beats

现在我们来用metricbeat展示如何使用beats。其他的可以仿照这个方法来做。

安装metricbeat

curl -L -O https://artifacts.elastic.co/downloads/beats/metricbeat/metricbeat-7.3.2-linux-x86_64.tar.gz

tar xzvf metricbeat-7.3.2-linux-x86_64.tar.gz

Metricbeat 配置文件

等我们安装完Metricbeat后，我们可以在安装目录的根目录下看到如下的所有文件：

$ ls -F

LICENSE.txt			metricbeat*

NOTICE.txt			metricbeat.reference.yml

README.md			metricbeat.yml

data/				metricbeat.yml.org

fields.yml			module/

kibana/				modules.d/

logs/

在这个目录下，我们可以看到有两个文件配置文件：

metricbeat.yml：这是一个默认的配置文件

metricbeat.reference.yml：这是一个完整的样本配置文件

只使用第一个配置文件。

配置Metricbeat时，需要指定要运行的模块。 Metricbeat使用模块来收集指标。每个模块都定义了从特定服务（例如Redis或MySQL）收集数据的基本逻辑。一个模块由获取和构造数据的metricsets组成。比如针对Redis模块，在这个模块中使用了Info Metricset及Keyspace Metricset。它们会共用一个和host相连接的通道。

启用要运行的模块

如果您接受默认配置而不启用其他模块，则Metricbeat仅收集System指标。

# 路径：metricbeat-7.3.2-darwin-x86_64/modules.d

# ls -a

.					kibana-xpack.yml.disabled

..					kibana.yml.disabled

aerospike.yml.disabled			kubernetes.yml.disabled

apache.yml.disabled			kvm.yml.disabled

aws.yml.disabled			logstash-xpack.yml.disabled

beat-xpack.yml.disabled			logstash.yml.disabled

beat.yml.disabled			memcached.yml.disabled

ceph.yml.disabled			mongodb.yml.disabled

cockroachdb.yml.disabled		mssql.yml.disabled

consul.yml.disabled			munin.yml.disabled

coredns.yml.disabled			mysql.yml.disabled

couchbase.yml.disabled			nats.yml.disabled

couchdb.yml.disabled			nginx.yml.disabled

docker.yml.disabled			oracle.yml.disabled

dropwizard.yml.disabled			php_fpm.yml.disabled

elasticsearch-xpack.yml.disabled	postgresql.yml.disabled

elasticsearch.yml.disabled		prometheus.yml.disabled

envoyproxy.yml.disabled			rabbitmq.yml.disabled

etcd.yml.disabled			redis.yml.disabled

golang.yml.disabled			system.yml

graphite.yml.disabled			traefik.yml.disabled

haproxy.yml.disabled			uwsgi.yml.disabled

http.yml.disabled			vsphere.yml.disabled

jolokia.yml.disabled			windows.yml.disabled

kafka.yml.disabled			zookeeper.yml.disabled

在Metricbeat下的子目录下有一个叫做modules.d的。它里面显示所有默认的metricbeat能支持的所有的模块，在默认的情况下，只有system.yml是enabled的状态。其它的都是在disabled的状态。

我们可以通过在metricbeat安装目录下打入如下的命令来获得当前所有被支持的模块：

./metricbeat modules list

如果我们想打开某个模块，我们可以这么做：

./metricbeat modules enable apache mysql

这样我们就打开了apache及mysql的模块。如果我们想关闭模块的话，可以采用如下的命令：

./metricbeat modules disable apache mysql

配置output

Metricbeat支持多种输出，但是通常您将事件直接发送到Elasticsearch或Logstash进行其他处理。

output.elasticsearch

  hosts: ["127.0.0.1:9200"]

如果您打算使用Metricbeat随附的示例Kibana仪表板，请配置Kibana端点。如果Kibana与Elasticsearch在同一主机上运行，则可以跳过此步骤。

setup.kibana:

  host: "127.0.0.1:5601"

如果Elasticsearch和Kibana受保护，请在运行设置和启动Metricbeat的命令之前在metricbeat.yml配置文件中设置证书。

output.elasticsearch:

  hosts: ["myEShost:9200"]

  username: "filebeat_internal"

  password: "YOUR_PASSWORD"

setup.kibana:

  host: "mykibanahost:5601"

  username: "my_kibana_user"

  password: "YOUR_PASSWORD"

运行测试指令：

./metricbeat test config -e

目前只设置了system模块。

设置Kibana模块

我们运行如下的命令来配置Kibana仪表盘：

./metricbeat setup

显示结果：

$ ./metricbeat setup

Index setup finished.

Loading dashboards (Kibana must be running and reachable)

Loaded dashboards

这个操作将在Kibana中为我们生产相应的index pattern，并生产相应的示例模板dashboard供我们使用。

运行Metricbeat

在上一步我们已经配置好我们的Metricbeat了，我们现在可以开始运行Metricbeat了。

./metricbeat -e

可以到Kibana上去看一下数据。选择以metricbeat为开头的index,可以看见数据是在不断地增长，表明metricbeat是在不断地收集数据。

点击Discover图标，然后选择metricbeat的Index pattern，可以看到一件收集到的数据。

点击Dashboard图标，然后搜索Metricbeat的System显示仪表盘

上面显示的是System Overview，我们也可以点击“Host Overview”:

通过这样简单的配置，我们就可以了解我们系统的整个使用情况。