在CentOS上为Filebeat设置报警，可以通过结合Elastic Stack（包括Elasticsearch、Logstash和Kibana）中的Elasticsearch Watcher功能来实现。以下是设置报警的基本步骤：

1. 安装和配置Filebeat

确保你已经在CentOS上安装并配置了Filebeat。你可以参考官方文档进行安装和配置。

2. 安装和配置Elasticsearch Watcher

Elasticsearch Watcher是一个用于创建、管理和执行警报的工具。你需要确保Elasticsearch和Kibana已经安装并运行。

安装Watcher插件

bin/elasticsearch-plugin install x-pack-watch

启动Elasticsearch和Kibana

确保Elasticsearch和Kibana服务已经启动：

systemctl start elasticsearch
systemctl start kibana

3. 创建Watcher规则

在Kibana中创建一个Watcher规则来定义报警条件。

登录Kibana

打开浏览器并访问Kibana的Web界面（通常是http://:5601），使用你的用户名和密码登录。

创建Watcher规则

1. 在Kibana的左侧导航栏中，点击“Management”（管理）。
2. 在“Management”页面中，点击“Stack Management”（堆栈管理）。
3. 在“Stack Management”页面中，点击“Watchers”（观察者）。
4. 点击“Create Watch”（创建观察者）。
5. 填写观察者的基本信息，如名称、描述等。
6. 在“Input”部分，选择“Elasticsearch query”并填写你的查询条件。例如：

   GET /filebeat-*/_search
   {
     "query": {
       "bool": {
         "must": [
           {
             "range": {
               "@timestamp": {
                 "gte": "now-1h",
                 "lte": "now"
               }
             }
           },
           {
             "term": {
               "message": {
                 "value": "ERROR"
               }
             }
           }
         ]
       }
     }
   }
   

7. 在“Condition”部分，定义触发报警的条件。例如，如果查询结果的数量大于0，则触发报警：

   condition:
     must:
       - compare:
           ctx.payload.hits.total:
             - gt: 0
   

8. 在“Actions”部分，定义触发报警时要执行的操作。例如，发送电子邮件：

   actions:
     - email:
         to: "your-email@example.com"
         subject: "Filebeat Alert"
         body: "There are errors in the logs."
   

9. 点击“Create”（创建）按钮保存观察者规则。

4. 测试和验证

创建完观察者规则后，你可以通过手动触发报警条件来测试和验证报警是否正常工作。例如，你可以手动在Elasticsearch中插入一些包含错误信息的日志条目，然后检查是否收到了电子邮件通知。

通过以上步骤，你可以在CentOS上为Filebeat设置报警。根据你的具体需求，你可以调整查询条件、触发条件和执行操作。