====== werking Filebeat======
[[elk_stack:elk_stack|{{ :elk_stack:icon.jpg?120|}}]]

===== context=====
dit document beschrijft de werking van filebeat

===== algemeen=====
  - agent die logbestanden in de gaten houdt en naar ELK stack waar ze kunnen geindexeerd worden. Ook wel: lightweight data shipper, genoemd.
    - bij opstarten, worden 1 of meerdere inputs gestart die in de logdirs kijken
    - voor elk logbestand (dat in config staat) wordt een **harvester** gestart zodra er nieuwe inhoud wordt aan toegevoegd. 
    - die data stuurt de filebeat door naar libbeat die ze aggregeert en doorstuurt  naar output die voor Filebeat werd ingsteld. {{ :elk_stack:elkfiilebeatwerking.png?600 |}}
  - de functionaliteit van filebeat wordt uitgebreid door **modules** die je kan activeren (zie: [[elk_stack:installeer_filebeat|Filebeat installatie]]. Standaard activeer je de system module
  - de __interval tussen controles__ staat standaard op 30 seconden.
===== werking testen =====
    - meld aan op de linux
    - open het logboek van filebeat:<code>tail -f /var/log/filebeat/filebeat.log </code>
    - maak een nieuw logbestand aan: <code>echo "hier komt een eerste lijntje" > /var/log/test01.log </code>
    - kijk na of nieuwe harvester wordt gestart: {{ :elk_stack:filebeatcheckwerking.png?600 |}}
    - kijk in kibana of het logbestand doorzoekbaar is: 
      - **menu**: **Logs**
      - **zoekvenster**: ''log.file.path : "var/log/test01.log"'' {{ :elk_stack:filebeatcheckwerking1.png?400 |}}

===== configuratie =====
  * locatie: /etc/filebeat
  * filebeat.yml: main config file
  * als je [[elk_stack:Filebeat modules|Filebeat modules]] gebruikt, staat de config in /etc/filebeat/module.d
  * [[elk_stack:filebeat_loglocatie_toevoegen|filebeat loglocatie toevoegen]]
  * [[elk_stack:filebeat_logstash_configuratie|elk_stack:filebeat_logstash_configuratie]]
  * schakel [[elk_stack:logging_naar_syslog_uistschakelen|logging_naar_syslog_uit]]
  * activeer de **voorbeeld dashboards** op dezelfe manier als in [[elk_stack:metricbeat_werking#kibana|metricbeat]] \\ vervang ''metricbeat'' door ''filebeat''


===== datadir =====

  * /var/lib/filebeat
  * bevat json bestand met logs die worden verwerkt: {{ :elk_stack:elkfiilebeatwerkingdatadir.png?600 |}}
    
    
===== logging =====
  * dir: /var/log/filebeat/filebeat.log
  * staat zo ingesteld dat bij elke herstart van de service, logbestand wordt geroteerd. 

===== meer info =====
[[https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-overview.html|Filebeat overview]]
{{tag>elk_stack filebeat}}