filebeat7.8版本创建自定义索引名称、更改配置不生效、以及kibana展示java报错多行输出解决办法

已于 2023-04-03 10:23:37 修改
阅读量1.6k 收藏 3
点赞数 1
文章标签: 运维 efk 日志 索引 Powered by 金山文档
于 2023-03-13 14:51:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/W1124824402/article/details/129493461
版权
1、首先是filebeat配置自定义索引名称配置

vim filebeat.yml

filebeat.inputs:

- type: log

enabled: true

paths:

- /var/log/nginx/access.log 修改为需要读取的日志路径

tags: ["nginx"] #标签名自定义

output.elasticsearch:

hosts: ["192.168.11.139:9200"]

indices:

- index: "filebeat-nginx-%{+yyyy.MM.dd}" #filebeat-nginx替换为你想要的索引名称。%{+yyyy.MM.dd}是年月日的标识方便分辨索引日期

when.contains:

tags: "nginx" #标签名和上面一直

nohup ./filebeat -e -c filebeat.yml > filebeat.log & 修改完配置运行filebeat

vim filebeat.log 查看一下运行日志

提示启动和输入完成 1 那么索引就已经生成了

2、还有要说的就说在使用过程用遇到的坑,我使用的是filebeat7.8版本

遇到的问题有索引删除后重启filebeat后当天不在生成新的索引

还有就是更新filebeat配置文件后重启filebeat配置没有生效

如果大家也遇到这样的问题不要慌可能是版本的问题

ps -ef |grep filebeat

kill -9 13482

rm -rf filebeat/data/registry/filebeat

停掉filebeat服务 然后删除filebeat工作目录 最后在启动即可

nohup ./filebeat -e -c filebeat.yml > filebeat.log & 运行filebeat

3、采集error日志时开发经常会看java的报错,但是java报错一般都很长使用默认配置的话filebeat采集出来的日志是一行一行的,看起来非常的不方便

根据需求我们重新配置一下filebeat即可

vim filebeat.yml

filebeat.inputs:

- type: log

enabled: true

paths:

- /data/log/error.log

multiline.pattern: '^20' #正则表达式是以20 开头的行

multiline.negate: true #参数将匹配结果取反,表示将非匹配行合并到上一行中

multiline.match: after #参数来指定合并行的位置,这里我们使用 after 表示合并到下一行

tags: ["error"]

output.elasticsearch:

hosts: ["192.168.197.136:9200"]

indices:

- index: "nginx-1-error-%{+yyyy.MM.dd}"

when.contains:

tags: "error"

ps -ef |grep filebeat kill -9 进程号

rm -rf filebeat/data/registry/filebeat 删除filebeat工作目录

nohup ./filebeat -e -c filebeat.yml > filebeat.log & 运行filebeat

然后来到kibana在看一下展示的内容就会发现整段报错都展示出来了。

争取不加班!
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Filebeat 自定义索引
hanjinjuan的博客
02-09 6427
文章目录1、加载外部配置文件1.1 Input config1.2 Module config2、Elasticsearch output2.1 配置模板加载2.2 自定义索引名2.2.1 配置filebeat2.2.2 查看es是否增加了新的索引2.2.3 在kibana上关联es索引 1、加载外部配置文件 1.1 Input config filebeat.config.inputs: enabled: true path: inputs.d/*.yml inputs.d目录下的配置文件示例:
elk修改filebeat索引
FUCK——GUN的博客
06-25 868
vi /etc/filebeat/filebeat.yaml kibana地址: host: "192.168.2.29:5601" 配置log地址 - type: log # Change to true to enable this prospector configuration. # enabled: false # Paths that should be cra...
filebeat 设置elasticsearch索引的 max_result_window
最新发布
不积跬步,无以至千里;不积小流,无以成江海。
04-24 388
Filebeat 中设置索引的 max_result_window 需要修改 Elasticsearch 的索引模板。max_result_window 参数定义了在 Elasticsearch 中执行搜索时,最大返回文档的数量。然后,当 Filebeat 发送日志到 Elasticsearch 时,将使用你设置的 max_result_window 值。在索引模板中,设置 max_result_window 参数为你希望的值。请注意,这只是一个示例配置,你需要根据你的实际情况进行调整。
filebeat收集K8S日志,写入自动创建索引
热门推荐
yanggd1987的专栏
09-08 1万+
需求 前面我们已经将SpringBoot项目部署在K8S中,此时需要filebeat收集日志并通过ELK进行展示,以用于后续的问题排查及监控。 与传统的日志收集不同: pod所在节点不固定,每个pod中运行filebeat配置繁琐且浪费资源; pod的日志目录一般以emptydir方式挂载在宿主机,目录不固定,filebeat无法自动匹配; pod持续增多,filebeat需要做到自动检测并收集; 因此最后的收集方式为一个filebeat能够收集所有的pod日志,但是这就要求统一的日志收集规则、目录以
【ELK】使用filebeat为每个日志创建独立索引
cnskylee的博客
12-24 4295
EFK是ELK日志监控架构中一个较为简单的、轻量级的日志监控框架,主要使用到了Filebeat 、Elasticsearch以及KibanaFilebeat采集日志,并通过配置为某一类日志(如Tomcat的日志、Nginx的日志等等)创建独立的索引。如果不做独立的配置,那么Filebeat将所有的日志都采用同一个默认索引。 这里使用的EFK版本都为7.16.2版本,Elastic安装为单节点。EFK的安装配置,我之前的文章有详细说明,这里就不做介绍了。 ...
12filebeat指定es创建索引名称并在kibana展示日志数据.md
10-29
12filebeat指定es创建索引名称并在kibana展示日志数据.md
patternizer:Kibana插件创建索引模式(如果不存在)
05-10
图案化器 Kibana插件创建索引模式(如果不存在) 如果直接从kibana左窗格菜单访问插件链接,您将被重定向到可以创建的页面索引模式如果通过带有查询参数名称“ target”(具有索引模式值)的URL访问该插件,您将被...
filebeat+elasticSearch+kibana 学习体会
07-31
就是学习这三个的一些心得体会,适合初学者,适合给他人讲解使用!
kibana7.7&&7.8winodws最新.rar
08-11
kibana7.7&&7.8winodws最新.rar
kibana.newlines:用于在 Kibana 中正确呈现“\r\n”的 Chrome 扩展
07-12
Kibana 换行符 Kibana 换行符是一个小的 Chrome 扩展,它用 替换日志字段值中的\r\n实例 - 使它们呈现为实际的换行符。
elk+filebeat搭建(自动根据容器名生成索引
u014692704的博客
07-19 3642
首先设置内核参数: sysctl -w vm.max_map_count=655360 下载elk三合一镜像,docker-compose启动elk: [root@cmtest elk-compose]# cat docker-compose.yml version: "3" services: elk: container_name: elk image: sebp/elk ports: - "5601:5601" - "9200:9200" - "
filebeat.yml 合并多条失效
周六放风筝的专栏
04-02 1231
filebeat官方例子 背景 在使用filebeat 采集日志时候 需要 指定采集的路径,堆栈信息的合并发送,以及日志格式化 都需要在 filebeat.yml 文件里配置。 堆栈日志不合并 在 kibana中查询出来的 只有一行错误 看不到 连续的 堆栈信息,以至于定位问题难所以需要配置 多行合并。 由于本人疏忽 在配置堆栈日志合并的时候 直接顶格配置了以下代码: multiline.patt...
filebeat7.5指定自定义index名称无效,自动创建index
QYHuiiQ
01-29 5600
在使用filebeat7.5的时候,filebeat.yml文件中指定了index,并且也指定了template.name、template.pattern。 但是在发送到elasticsearch7.5时并没有将数据发送到我们指定的index中,而是自动创建了名为filebeat-{version}-{yyyy-MM-dd}的index,并将数据发送到该index中。 解决方案: 在yml...
filebeat收集多类型日志并设置不同的索引
weixin_45203131的博客
01-09 3954
一. filebeat分别收集Nginx正常和错误日志 filebeat配置文件: 1)、filebeat配收集nginx、tomcat日志 filebeat.inputs: ############nginx############## - type: log enabled: true paths: - /var/log/nginx/access.log json.keys_under_root: true json.overwrite_keys: true tags
Filebeat 安装与配置
深圳市多克创新科技有限公司
03-24 1241
Filebeat 安装与配置
Filebeat轻量型日志采集器-自定义processors处理器
Ch3nnn的博客
02-26 1452
filebeat通常以配置文件的方式加载插件。让定义一下自定义配置filebeat.inputs : - type : log paths : - example/example.log processors : # 自定义处理器插件 - parse_text : file_has_suffix : example.log output.console : pretty : true。
Filebeat7.1 读日志输出到elasticsearch不能drop掉host, agent, ecs字段的存储
yk20091201的专栏
06-04 3632
近日使用Filebeat 7.1 抓取json日志到Elasticsearch,发现存储到Elasticsearch中的字段中多了很多基本信息字段的字段,例如:@timestamp, input, ecs, agent, host, log, 使得本来很简洁的存储索引变的很庞大,所以就想把这些字段过滤掉不存储。根据文官方档的介绍,Filebeat Reference [7.1] ...
filebeat 收集java堆栈日志 多行匹配失效
cajole_zero的博客
02-25 2661
使用高版本filebeat时,inputs的类型支持filestream,此类型必须按照以下配置才可生效 filebeat.inputs: - type: filestream enabled: true paths: - /data/logs/error/*api.log.* fields: service_name: api level: error fields_under_root: true parsers: - ndjson:
ELK-beats 重命名索引失败问题
aioulaoda的博客
06-05 246
使用的版本filebeat-7.7.1-linux-x86_64, es版本elasticsearch-7.7.0, 7版本之后通过ilm生命周期管理。 之后可以查到重命名成功。 参考地址: https://www.elastic.co/guide/en/beats/filebeat/6.2/filebeat-template.html 反复不好使 filebeat setup --template -E output.logstash.enabled=false -E 'out...
kibana修改索引自动创建配置
07-27
修改Kibana索引自动创建配置,您可以按照以下步骤进行操作: 1. 打开Kibana的管理界面。 2. 在左侧导航栏中,点击"索引模式"选项。 3. 在索引模式页面中,您将看到已创建索引模式列表。 4. 找到您要修改的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值