Ubuntu日志监控实战指南（手把手教你集成系统日志与ELK栈）

一、为什么需要日志监控？

系统日志记录了服务器运行状态、错误信息、安全事件等关键数据。通过集中化收集与分析，你可以：

• 快速定位故障原因
• 发现潜在的安全威胁
• 分析系统性能瓶颈
• 满足合规审计要求

而系统日志集成正是实现这些目标的第一步。

二、准备工作

你需要：

• 一台运行 Ubuntu 20.04/22.04 的服务器（或虚拟机）
• sudo 权限
• 网络可访问（用于安装软件包）

三、安装 Filebeat（轻量级日志收集器）

Filebeat 是 Elastic 官方推出的轻量级日志 shipper，非常适合用于 Filebeat日志收集。它资源占用低，配置简单。

执行以下命令安装 Filebeat：

wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo gpg --dearmor -o /usr/share/keyrings/elastic-keyring.gpgecho "deb [signed-by=/usr/share/keyrings/elastic-keyring.gpg] \https://artifacts.elastic.co/packages/8.x/apt stable main" | \sudo tee /etc/apt/sources.list.d/elastic-8.x.listsudo apt updatesudo apt install filebeat -y

四、配置 Filebeat 收集系统日志

Ubuntu 的主要日志文件位于 /var/log/ 目录下，如 syslog、auth.log 等。我们修改 Filebeat 配置文件以启用这些模块：

# 启用 system 模块（自动收集 syslog 和 auth.log）sudo filebeat modules enable system# 编辑主配置文件sudo nano /etc/filebeat/filebeat.yml

在 filebeat.yml 中，确保以下配置项正确（假设你的 Elasticsearch 地址为 http://192.168.1.100:9200）：

output.elasticsearch:  hosts: ["192.168.1.100:9200"]  # 如果启用了安全认证，请取消注释以下两行  # username: "elastic"  # password: "your_password"setup.kibana:  host: "192.168.1.100:5601"

五、启动并验证 Filebeat

加载 Kibana 仪表盘并启动服务：

sudo filebeat setupsudo systemctl enable filebeatsudo systemctl start filebeat

检查状态：

systemctl status filebeat

如果看到 active (running)，说明日志正在被发送到 Elasticsearch。

六、在 Kibana 中查看日志

打开浏览器，访问 Kibana（如 http://192.168.1.100:5601），进入 Discover 页面，选择 filebeat-* 索引模式，即可实时查看 Ubuntu 系统日志。

通过可视化界面，你可以按时间、日志级别、服务名称等维度筛选日志，实现高效的 ELK日志分析。

七、小结

本文详细介绍了如何在 Ubuntu 上通过 Filebeat 将系统日志集成到 ELK 栈中。整个过程无需复杂编程，只需几条命令和简单配置，就能搭建起强大的日志监控体系。无论你是运维新手还是开发者，这套方案都能帮助你更好地掌控系统状态。

记住关键词：Ubuntu日志监控、系统日志集成、ELK日志分析、Filebeat日志收集——它们是你后续深入学习的关键。

现在，就去试试吧！你的服务器日志值得被“看见”。