filebeat自定义索引(不同的日志输出到不同的索引)

已于 2024-03-19 08:54:45 修改
阅读量7.7k 收藏 20
点赞数 5
分类专栏: ELK 文章标签: EKL filebeat
于 2020-09-01 21:33:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/junxuezheng/article/details/108351039
版权

filebeat可以实现不同的日志(input)输出到不同的索引(index)

  # 向输出的每一条日志添加额外的信息,比如“level:debug”,方便后续对日志进行分组统计。
  # 默认情况下,会在输出信息的fields子目录下以指定的新增fields建立子目录,例如fields.level
  # 这个得意思就是会在es中多添加一个字段,格式为 "filelds":{"level":"debug"}
  #fields:
  #  level: debug

配置文件如下所示


# ============================== Filebeat inputs ===============================

filebeat.inputs:

- type: log

  # Change to true to enable this input configuration.
  enabled: true
  # Paths that should be crawled and fetched. Glob based paths.
  paths:
    #- /var/log/*.log
    - D:\demo01\*.txt
  fields: 
    source: junxue01
    
- type: log
  enabled: true
  paths:
    - D:\demo02\*.txt
  fields: 
    source: junxue02
    
    
  #include_lines: ['^txt','^junxue']

# ============================== Filebeat modules ==============================

filebeat.config.modules:
  # Glob pattern for configuration loading
  path: ${path.config}/modules.d/*.yml

  # Set to true to enable config reloading
  reload.enabled: false

  # Period on which files under path should be checked for changes
  #reload.period: 10s

# ======================= Elasticsearch template setting =======================

setup.template.settings:
  index.number_of_shards: 1
  #index.codec: best_compression
  #_source.enabled: false

# 允许自动生成index模板
setup.template.enabled: true
# # 生成index模板时字段配置文件
setup.template.fields: fields.yml
# # 如果存在模块则覆盖
setup.template.overwrite: true
# # 生成index模板的名称
setup.template.name: "zheng_log" 
# # 生成index模板匹配的index格式       
setup.template.pattern: "zheng-*" 
setup.ilm.enabled: auto
# 这里一定要注意 会在alias后面自动添加-*
setup.ilm.rollover_alias: "park-ssm"
setup.ilm.pattern: "{now/d}"
# # 生成kibana中的index pattern,便于检索日志
#setup.dashboards.index: myfilebeat-7.0.0-*
#filebeat默认值为auto,创建的elasticsearch索引生命周期为50GB+30天。如果不改,可以不用设置
setup.ilm.enabled: false
# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
  # Array of hosts to connect to.
  hosts: ["localhost:9200"]
  index: "zheng-%{[fields.source]}-*"
  indices:
    - index: "zheng-junxue01-%{+yyyy.MM.dd}"
      when.equals: 
        fields: 
          source: "junxue01"
    - index: "zheng-junxue02-%{+yyyy.MM.dd}"
      when.equals:
        fields:
          source: "junxue02"

# ================================= Processors =================================

processors:
  - add_host_metadata: ~
  - add_cloud_metadata: ~
  - add_docker_metadata: ~
  - add_kubernetes_metadata: ~

最终结果是
demo01内的日志信息输入到索引:“zheng-junxue01-日期”
demo02内的日志信息输入到索引:“zheng-junxue02-日期”

参考:
【1】Filebeat自定义索引 && 多output过滤:https://www.cnblogs.com/lemon-le/p/11932813.html

郑同学的笔记
关注
  • 5
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
filebeat收集多类型日志并设置不同索引
weixin_45203131的博客
01-09 3949
一. filebeat分别收集Nginx正常和错误日志 filebeat配置文件: 1)、filebeat配收集nginx、tomcat日志 filebeat.inputs: ############nginx############## - type: log enabled: true paths: - /var/log/nginx/access.log json.keys_under_root: true json.overwrite_keys: true tags
Django如何自定义model创建数据库索引的顺序
12-26
这时候就需要将excel导入到数据库中,然而model创建的索引并非是我们编写时候的顺序,特别是当存在 models.ForeignKey 时,我们必须要先创建 ForeignKey的class,最后再创建总表。 为了保证数据库的索引跟excel的...
14filebeat收集多个域名日志并创建不同索引.md
10-29
14filebeat收集多个域名日志并创建不同索引.md
filebeat多个日志输出多条索引案例
最新发布
qq_42516774的博客
03-14 454
【代码】filebeat多个日志输出多条索引案例。
【ELK】使用filebeat为每个日志创建独立索引
cnskylee的博客
12-24 4284
EFK是ELK日志监控架构中一个较为简单的、轻量级的日志监控框架,主要使用到了Filebeat 、Elasticsearch以及Kibana。Filebeat采集日志,并通过配置为某一类日志(如Tomcat的日志、Nginx的日志等等)创建独立的索引。如果不做独立的配置,那么Filebeat将所有的日志都采用同一个默认索引。 这里使用的EFK的版本都为7.16.2版本,Elastic安装为单节点。EFK的安装配置,我之前的文章有详细说明,这里就不做介绍了。 ...
13filebeat自定义索引名称.md
10-29
13filebeat自定义索引名称.md
Filebeat 自定义索引
hanjinjuan的博客
02-09 6390
文章目录1、加载外部配置文件1.1 Input config1.2 Module config2、Elasticsearch output2.1 配置模板加载2.2 自定义索引名2.2.1 配置filebeat2.2.2 查看es是否增加了新的索引2.2.3 在kibana上关联es索引 1、加载外部配置文件 1.1 Input config filebeat.config.inputs: enabled: true path: inputs.d/*.yml inputs.d目录下的配置文件示例:
Filebeat 根据不同日志设置不同索引
杂货铺子
11-06 7799
平时在物理机上使用 Filebeat 收集日志时,会编写多个 filebeat 配置文件然后启动多个 filebeat 进程来收集不同路径下的日志并设置相对应的索引。那么如果将所有的日志路径都写到一个 filebeat 配置文件中,那么就需要根据不同日志来设置索引了。 其实 logstash 也可以实现这个功能。但是此处只演示在 Filebeat 上实现。步骤和讲解如下: 例如现在有如下三个日志文件,需要输出不同索引: access.log ----> 索引:web-nginx-acc
FileBeat读取特征目录及特征文件,为不同的path生成不同的Kafka Topic
weixin_34088598的博客
09-07 1250
进入日志收集及监控报警这个领域,感觉一切都要从新学习。 现在周五,这周有两天用来踩坑了。 作些记录。 第一个遇到的问题,就是不同的应用组件,在k8s里,会生成不同日志,如何采集到这些不同日志呢? 由于filebeat是支持glob path的,所以我们可以使用这个技巧,来读取不同的组件的指定特征日志文件。 第二个问题,就是不同日志文件,需要进入到不同的kafka的topic。最新版...
ELK配置之,filebeat更改自定义索引名称
12-17 3899
简介: filebeat客户端添加成功后,在kibana查看添加的索引,默认情况下,当索引生命周期管理(ILM)被禁用或不受支持时,Filebeat 使用时间序列索引索引命名格式为 filebeat-7.16.1-yyyy.MM.dd。 如图所示: 一台filebeat还好,可以清楚的分辨,但当多台机器添加后,共用一个索引名,无法分辨,这时需要自定义索引名称。有两种方法更改索引名称。 方法一: 在filebeat.yml文件中,配置setup.template.name和 setup.template.
12filebeat指定es创建索引的名称并在kibana上展示日志数据.md
10-29
12filebeat指定es创建索引的名称并在kibana上展示日志数据.md
Android自定义View实现通讯录字母索引(仿微信通讯录)
01-05
一、效果:我们看到很多软件的通讯录在右侧都...首先,它肯定是通过自定义 View 来实现的,因为 Android 没有提供类似这样的控件、那么接下来就是如何自定义我们的 View ,我们知道自定义 View 最最主要的两个方法就是
filebeat将收集来的日志存储到自定义名称的es索引(四)
江晓龙的博客
06-09 2091
filebeat自定义索引名称 环境准备 IP 服务 192.168.81.210 es+kibana 192.168.81.220 es+filebeat+nginx 192.168.81.230 filebeat+nginx 1.配置filebeat使用自定义索引名称 我们配置192.168.81.220的filebeat使用自定义索引名称 1.1.配置nginx开启json格式的日志 [root@node-2 ~]# vim /etc/nginx/nginx.conf
Filebeat 根据type配置将数据直接送到的es的不同索引
热门推荐
叱咤少帅的博客
04-27 1万+
Filebeat 根据type配置将数据直接送到的es的不同索引
filebeat收集多个域名网站日志并存储到不同的es索引库(五)
江晓龙的博客
06-09 1067
filebeat收集多个域名日志并创建不同索引 1.为什么要针对不同的应用系统创建不同索引 公司生产环境中一台机器上一定会运行着多个域名的应用,web应用也是集群的方式,如果filebeat收集来的日志都是分散存储,且在es上建立的索引也都是分散的,这样不利于日志的聚合汇总,因此就需要把同一种应用的不同机器上的日志全部采集过来存储到一个索引库中,在kibana根据各种条件去匹配 2.搭建web集群环境 2.1.环境准备 IP 服务 应用 192.168.81.210 nginx01 bbs
filebeat将收集的日志存储在指定es索引库并在kibana上展示日志数据(三)
江晓龙的博客
06-07 3138
filebeat指定es创建索引的名称并在kibana上展示日志数据 1.为什么要指定索引库名称 由于一台机器上不止一个应用服务,比如web机器,上面一定会有tomcat、nginx、redis这种服务,如果我们不指定每个应用收集来的日志存放在es集群中的索引名的话,filebeat会将所有的日志存放在一个叫filebeat-xxx的索引库中,这样一来,我们想针对性的看某一个应用的日志将会非常困难 因此就需要当filebeat收集完日志存放在es时,指定不同应用对应的不同索引名,这样就能实现tomcat在t
Filebeat 将多个日志输出不同的 Kafka Topic
杂货铺子
03-03 1万+
平时在物理机上使用 Filebeat 收集日志输出到 Kafka 中时,会编写多个 filebeat 配置文件然后启动多个 filebeat 进程来收集不同路径下的日志并推送到不同的 Topic。那么如果将所有的日志路径都写到一个 filebeat 配置文件中,那么就需要根据不同日志来设置 Topic 了。 其实 logstash 也可以实现这个功能。但是此处只演示在 Filebeat 上实现。步骤和讲解如下: 例如现在有如下三个日志文件,需要输出不同的 Topic: access.log --
ELK之filebeat收集多日志自定义索引
weixin_34270606的博客
12-17 4648
需求说明 1、在《ELK收集Apache的json格式访问日志并按状态码绘制图表》中,收集了Apache的json格式日志,在此实验基础上,增加nginx的json日志收集,并自定义filebeat索引。本次实验也是基于《ELK收集Apache的json格式访问日志并按状态码绘制图表》;2、将nginx和Apache的日志按照状态码绘制柱状图,并将其添加到dashboard; 环境说明 10.0...
filebeat采集到的日志数据传入logstash后如何放入不同的Hashmap
03-24
请使用logstash的filter插件,使用grok模式匹配日志数据并将它们放入不同的字段中,然后使用output插件将数据推送到不同的Hashmap中。具体可以参考以下配置: filter { grok { match => { "message" => "%{TIMESTAMP_ISO8601:timestamp} %{LOGLEVEL:loglevel} %{GREEDYDATA:message}" } } } output { if [loglevel] == "INFO" { elasticsearch { hosts => ["localhost:9200"] index => "info-%{+YYYY.MM.dd}" } } else if [loglevel] == "ERROR" { mongodb { uri => "mongodb://localhost:27017" database => "errors" collection => "logs" } } else { kafka { bootstrap_servers => "localhost:9092" topic_id => "debug_logs" } } } 上述配置将日志数据中的时间戳、日志级别和消息内容分别保存到timestamp、loglevel和message字段中。然后根据日志级别将数据推送到不同的目的地。比如,loglevel为INFO的数据会被推送到Elasticsearch中的info索引,loglevel为ERROR的数据会被推送到MongoDB中的errors.logs集合,其它日志数据会被推送到Kafka的debug_logs主题中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

郑同学的笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值