Filebeat 是一款部署在服务器上的轻量级日志传输工具。它能够实时监控指定的日志文件或目录,收集并转发日志数据到 Elasticsearch 或 Logstash 等存储和分析系统。

Filebeat 的工作流程主要包括以下步骤:

  1. 启动探测器: Filebeat 启动后,会启动多个探测器 (prospectors) 定期扫描指定的日志目录或文件。
  2. 启动收割进程: 一旦探测器发现新的日志文件,就会启动相应的收割进程 (harvester) 来读取该文件的新增内容。
  3. 发送数据到处理程序: 收割进程将读取到的日志数据发送到处理程序 (spooler)。
  4. 聚合和转发数据: 处理程序负责聚合多个收割进程发送的日志数据,并将聚合后的数据批量转发到 Elasticsearch 或 Logstash 等目的地。