配置Filebeat去监控ElasticSearch自身相关组件的log

（1）进入 Filebeat 配置目录

打开 CMD（管理员模式），进入 Filebeat 安装目录：

cmd

 

 

cd C:\Program Files\Elastic\Beats\9.2.1\filebeat

 

（2）启用对应的模块

执行以下命令启用监控模块（按需选择，建议全启用）：

cmd

 

 

# 启用 Elasticsearch 日志监控模块
filebeat.exe modules enable elasticsearch

# 启用 Logstash 日志监控模块
filebeat.exe modules enable logstash

# 启用 Kibana 日志监控模块
filebeat.exe modules enable kibana

3. 配置模块的日志路径（关键！）

启用模块后，需要修改模块配置文件，指定你实际的日志路径（否则 Filebeat 找不到日志文件）。

模块配置文件路径（Windows 环境）：C:\Program Files\Elastic\Beats\9.2.1\filebeat\modules.d\

分别编辑以下文件（用记事本或编辑器打开）：

（1）编辑 elasticsearch.yml（监控 Elasticsearch 日志）

找到 var.paths 配置，修改为你的 Elasticsearch 日志路径：

yaml

 

 

- module: elasticsearch
  # 启用日志收集（默认可能注释，取消注释）
  log:
    enabled: true
    # 替换为你的 Elasticsearch 日志路径（支持通配符 *）
    var.paths: ["C:/Program Files/Elastic/Elasticsearch/9.2.1/logs/*.log"]  # 注意 Windows 路径用 / 或 \\

 

（2）编辑 logstash.yml（监控 Logstash 日志）

同样修改 var.paths：

yaml

 

 

- module: logstash
  log:
    enabled: true
    # 替换为你的 Logstash 日志路径
    var.paths: ["C:/ElasticSearch/Logstash/logstash-9.2.1/logs/*.log"]

 

（3）编辑 kibana.yml（监控 Kibana 日志）

修改 var.paths：

yaml

 

 

- module: kibana
  log:
    enabled: true
    # 替换为你的 Kibana 日志路径
    var.paths: ["C:/Program Files/Elastic/Kibana/9.2.1/logs/*.log"]