1、解压jdk压缩包

abc@elk:~$ sudo tar -zxvf jdk-11.0.18_linux-x64_bin.tar.gz -c jdk11

2、添加环境变量

abc@elk:~$ vim ~/.bashrc
export JAVA_HOME=/home/abc/jdk11
export JRE_HOME=${JAVA_HOME}/jre
export CLASSPATH=.:${JAVA_HOME}/lib:${JRE_HOME}/lib
export PATH=${JAVA_HOME}/bin:$PATH

1、安装Filebeat软件包

abc@abc:~$ sudo dpkg -i filebeat-8.5.1-amd64.deb

3、配置数据收集文件

root@abc:/home/abc# vim /etc/filebeat/filebeat.yml
filebeat.inputs:
- type: log
  id: my-filestream-id
  enabled: true
  paths:
    - /var/log/auth.log
output.elasticsearch:
  hosts: ["172.16.1.107:9200"]
output.elasticsearch.index: "108-authlog"  ##修改ES索引名称
setup.template.name: "108-authlog"
setup.template.pattern: "108-authlog-*"
setup.ilm.enabled: false

注：从7.0版本开始，索引生命周期管理（ILM）默认是开启状态，当开启状态时候，setup.template.name和
setup.template.pattern两个参数不生效，所以还需要配置关闭ILM，即setup.ilm.enabled: false

4、启动Filebeat服务

abc@abc:~$ sudo systemctl enable filebeat.service
abc@abc:~$ sudo systemctl start filebeat.service