Filebeat自定义index和fields

已于 2022-07-11 18:56:14 修改
阅读量3.3k 收藏 7
点赞数
分类专栏: code 文章标签: elasticsearch filebeat
于 2022-06-25 17:23:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60725291/article/details/125461129
版权

目录

如同logstash,默认会生成filebeat-*的索引以及使用解压目录下的fields.yml(二进制压缩包)

这里的需求是解析生成的特定文件,每行记录为json格式的数据,需要:

  • 不同的文件生成不同的索引;
  • 类型需要定义,原始查询中对于字符串未使用.keyword,因为默认模板使用的是小于1024是keyword,反之是text,如果要当作keyword使用则是fieldName.keyword;

配置

setup.template.name: custom_name
setup.template.pattern: custom_name_*
setup.template.enabled: true
setup.template.overwrite: true
setup.template.fields: customFields.yml
setup.ilm.enabled: false
processors:
- drop_fields:
    fields: [log, host, input, agent, ecs]
    ignore_missing: false
filebeat.inputs:
- close_removed: true
  close_inactive: 5m
  type: log
  tags: [t1]
  clean_removed: true
  enabled: true
  json: {keys_under_root: true, overwrite_keys: true}
  paths: [/data/t1_*]
- close_removed: true
  close_inactive: 5m
  type: log
  tags: [t2]
  clean_removed: true
  enabled: true
  json: {keys_under_root: true, overwrite_keys: true}
  paths: [/data/t2_*]
output.elasticsearch:
  indices:
  - index: custom_name_t1
    when.contains: {tags: t1}
  - when.contains: {tags: t2}
    index: custom_name_t2
  hosts: ['127.0.0.1:9200']

setup.template.name 设置一个新的模板,模板的名称
setup.template.pattern 模板匹配那些索引
setup.template.enabled: false 关掉默认的模板配置
setup.template.overwrite: false 是否覆盖现有模板
when.contains: 包含
keys_under_root: true 将field展开到最外层(the custom fields are stored as top-level fields in the output document)

自定义模板请查看:Configuration-template

文件路径请查看:Configure project paths

字段定义

setup.template.fields: customFields.yml(路径请查看上述链接),文件格式如下:

- key: custom_name
  title: custom_name
  description: >
    custom fields
  fields:
  # some desc
    - name: t1
      type: keyword
    - name: t2
      type: keyword
    - name: t3
      type: ip
    - name: t4
      type: integer
    - name: t5
      type: ip
    - name: t6
      type: integer
    - name: t7
      type: ip
    - name: t8
      type: text
    - name: t9
      type: date
    - name: t10
      type: long

启动

$ ./filebeat -e -c config/customConf.yml
yolo_sec
关注
专栏目录
ELK日志检索系统--FileBeat配置说明
春天的道路依然充满泥泞!
10-24 7979
0. FileBeat使用说明FileBeat是一个日志收集器,基于Logstash-Forwarder的源代码。FileBeat一般以代理的身份运行在服务器中,并监视用户指定的目录、文件,同时把日志文件更新部分推送给Logstash解析或者直接推送给ES索引。FileBeat的工作方式: 当FileBeat在服务器上启动后,它同时启动一个或者多个prospectors来监视用户指定的日志文件目录
ELK Filebeat fields Logstash ES
qq 117791303
05-15 157
28.Filebeat的高级配置-Filebeat部分
热门推荐
Mars Loo的博客
04-24 5万+
介绍Filebeat的高级配置,尤其介绍了Filebeat组件自己的配置选项的意义。
Filebeat的高级配置详解
Jepson的博客
07-11 1万+
filebeat的配置文件在安装目录下,filebeat.yml文件 filebeat的部分主要定义prospector的列表,定义监控哪里的日志文件,关于如何定义的详细信息可以参考filebeat.yml中的注释,下面主要介绍一些需要注意的地方。 paths:指定要监...
elasticsearch 索引_filebeat设置Elasticsearch索引模板
weixin_39603604的博客
11-29 987
配置文件的setup.template部分filebeat.yml指定用于在Elasticsearch中设置映射的索引模板,如果启用了模板加载(默认设置),则filebeat会在成功连接到Elasticsearch后自动加载索引模板。note:加载索引模板需要连接到Elasticsearch,如果输出是Logstash,则必须手动加载模板。可以调整以下设置加载自己的模板或覆盖现有模板。setup....
filebeat修改自带modules模版
工具人的博客
11-18 1460
filebeat 更新自带模版
FileBeat自定义index名称
Why Do You Run
05-21 4591
FileBeat的版本为7.3.2,版本不同添加的参数不同!!! 为何要自定义模板? 因为我们在使用Kibana的时候有许多我们不需要分析的字段,这些字段的来源就是我们没有自定义FileBeat模板,FileBeat自带了N++个字段。 编辑filebeat.yml文件,在output.elasticesearch模块下添加下面配置: #-------------------------- Elasticsearch output ------------------------------ output.
windows下安装filebeat-7.3.2
zhengzaifeidelushang的博客
09-22 2780
ELK日志采集方案中通常使用filebeat来收集日志,将所有节点的日志内容通过filebeat发送到logstash,logstash根据配置文件进行过滤。然后将过滤之后的文件输送到elasticsearch中,通过kibana对数据分析和可视化。 用filebeat代替logstash采集日志,是因为logstash对内存资源消耗比较大,而filebeat需要的内存资源是logstash的零头。
filebeat自定义索引(不同的日志输出到不同的索引)
junxuezheng的博客
09-01 8405
filebeat可以实现不同的日志(input)输出到不同的索引(index) # 向输出的每一条日志添加额外的信息,比如“level:debug”,方便后续对日志进行分组统计。 # 默认情况下,会在输出信息的fields子目录下以指定的新增fields建立子目录,例如fields.level # 这个得意思就是会在es中多添加一个字段,格式为 "filelds":{"level":"debug"} #fields: # level: debug 配置文件如下所示 # ======
filebeat自定义es的document_id
05-19
具体来说,我们使用了`fields.my_id`字段的值作为文档ID,这个字段可以在Filebeat的输入配置中设置。 例如,如果我们在Filebeat的输入配置中设置了以下内容: ``` filebeat.inputs: - type: log paths: - /var/...
filebeat+kafka+logstash 配置 (logstash新增字段、编辑字段、字段层级调整)
王树伦的博客
12-14 5473
filebeat.yml ###################### Filebeat Configuration Example ######################### # This file is an example configuration file highlighting only the most common # options. The filebeat.r...
ELK 7.5.0(九)ELK+Filebeat采集多个源日志(自定义索引名称)
友人A的博客
11-19 1335
一、实验环境 主机名 IP es 192.168.14.210 kibana 192.168.14.210 logstash 192.168.14.211 Filebeat 192.168.14.213 nginx 192.168.14.213 secure 192.168.14.213 二、安装部署(内容比较多,已经分多个章节) 1、E...
Centos7 ES7.5 + Lostash7.5 + filebeat7.5 部署-自定义多索引按日期更新配置
Beckham的博客
04-13 1824
filebeat+logstash+es搭建 目录 filebeat+logstash+es搭建 介绍 安装 es的安装 安装elasticsearch-head 工具 Logstash安装 Filebeat 安装 索引优化配置 日志输出按索引区分配置 定期删除索引 介绍 Filebeat是一个轻量级的转发和集中日志数据的shipper。在你的机器上安装一个file...
Filebeat配置之加载Elasticsearch索引模板
ailiu5970的博客
06-05 4844
加载Elasticsearch索引模板 配置文件的setup.template部分filebeat.yml指定用于在Elasticsearch中设置映射的索引模板,如果启用了模板加载(默认设置),则filebeat会在成功连接到Elasticsearch后自动加载索引模板。 note:加载索引模板需要连接到Elasticsearch,如果输出是Logstash,则必须手动加载模板。 ...
【全文检索_10】Filebeat 基本使用
Demo_Null
02-09 1006
Filebeat 是 Beats 的一员,用于转发和集中日志数据的轻量级传送工具。当面对成百上千、甚至成千上万的服务器、虚拟机和容器生成的日志时,Filebeat 将为您提供一种轻量型方法,监视指定的日志文件或位置,收集日志事件,并将它们转发到 Elasticsearch、 Logstash 等。
filebeat的简单使用
chenjie13141511的博客
04-10 986
介绍: Filebeat是一个日志文件托运工具,在你的服务器上安装客户端后,filebeat会监控日志目录或者指定的日志文件,追踪读取这些文件(追踪文件的变化,不停的读),并且转发这些信息到elasticsearch或者logstarsh中存放 安装 官网下载 ,以6.3.*的版本为...
Filebeat
Hanyinh的博客
11-07 769
来自该文章 Filebeat作为ELK中的L,也就是Logstash中的输入 采集数据,并上报到Logstash 一、安装 点击安装 二、使用 解压到指定目录后,对filebeat.yml文件进行配置 **A. 配置Filebeat** 定义输入的日志文件路径配置: filebeat.inputs: - type: log enabled: true paths: - D:\nginx\nginx-1.16.1\logs\access.log 如果你发送输出目录到Elasticsearch
ELK(filebeat.yml配置)
最新发布
Big_math_er的博客
05-08 506
filebeat默认值为auto,创建的elasticsearch索引生命周期为50GB+30天。背景:基于上篇我部署好filebeat之后,发现filebeat读取的数据都会打入到同一个索引下面。根据filebeat读取的信息上面的“H001”或者“H002”打入不同的索引里面。这里是分了两份数据源,每个数据源打上独有的标签“H001”或者“H002”# # 生成kibana中的index pattern,便于检索日志。# # 生成index模板匹配的index格式。# # 生成index模板的名称。
filebeat Template 报错(安装的时候遇到错误了用这个方法解决的)
gb4215287的博客
11-29 1万+
filebeat安装的是 filebeat-6.4.2,因为是rpm安装的,默认的日志路径是cat /var/log/filebeat/filebeat,从这里面可以看相关的配置错误。 filebeat-6.4.2配置如下所示: setup.template.name: "own*" setup.template.pattern: "own*"   我用 filebeat 推送日志到 es,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值