filebeat输出结果到elasticsearch的多个索引

最新推荐文章于 2024-05-29 07:30:00 发布
最新推荐文章于 2024-05-29 07:30:00 发布
阅读量873 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40848737/article/details/110968006
版权

filebeat输出结果到elasticsearch的多个索引
基本环境:
filebeat版本:6.5.4 (Linux,x86-64)
elasticsearch版本:6.54

(一)需求说明
在一台服务器上有多个日志需要使用filebeat日志收集到elasticsearch中,以便于查看。对于收集方法,主要有2种:

将同一台服务器上的日志收集到elasticsearch的同一个索引中,这种方式存在一个较大的问题,如果服务器上有多个业务在运行,产生了多个日志,那么将会被收集到elasticsearch的同一个索引中,如图1。
将同一台服务器上的日志收集到elasticsearch的不同索引中,每个索引都存放相关业务的日志,如图2。

很明显,图2的日志输出是我们想要的,因为它将不同的日志放到了不同的索引中。

(二)解决方案
在使用filbeat收集日志输出到elasticsearch数据库时,可以使用indices参数来配置不同的日志输出到不同的索引中,官方文档及其配置例子如下:

(三)实际测试
(3.1)输入存在fields_under_root: true选项
使用filebeat对3个日志testa.log、testb.log、testc.log进行数据抓取,要求:

testa.log日志的数据存放到testa-log索引中
testb.log日志的数据存放到testb-log索引中
其它(非testa.log和testb.log)的日志数据存放到test-other-log索引中

filebeat输入配置如下:

输出配置如下:

最终测试成功。

这里附一份完整的filebeat配置文件:
View Code

(3.2)输入不存在fields_under_root: true选项
filebeat输入配置如下:

输出配置如下:

这里附一份完整的filebeat配置文件:
View Code

其它说明:为什么需要特别注意fields_under_root参数
fields_under_root参数定义如下:

如果值为ture,那么fields存储在输出文档的顶级位置,如果与filebeat中字段冲突,自定义字段会覆盖其他字段
如果值为false或者未设置,那么fields存储在输出文档的子位置。

如下:
(1)fields_under_root:true
此时在filebeat的input部分定义的字段log_topics是一个顶级字段。

(2)fields_under_root:false或者未设置
此时在filebeat的input部分定义的字段log_topics是fields字段的子字段。

qq_40848737
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ElasticSearch(九):ELK 架构
Men-DD
07-28 5001
ELK架构 Logstash Logstash数据传输原理 Logstash配置文件结构 Logstash导入数据到ES 同步数据库数据到Elasticsearch FileBeat的工作原理 Filebeat安装 ELK整合实战 采集nginx服务器日志 使用FileBeats将日志发送到Logstash 配置Logstash接收FileBeat收集的数据 Logstash输出数据到Elasticsearch 利用Logstash过滤器解析日志 输出Elasticsearch指定索引......
ElasticSearch 索引创建
未来在这儿的专栏
03-21 8812
创建索引是使用Elasticsearch的关键步骤之一。在创建索引时,您需要考虑字段类型、分析器、嵌套和多个映射等因素。您还可以使用别名、分片和副本等功能来提高系统的容错性、性能和可用性。在创建索引之前,请确保您已经安装了Elasticsearch并启动了服务器。您还需要使用适当的REST客户端与服务器进行交互。如果您遇到问题,请查看Elasticsearch文档或参考Elasticsearch社区中的其它资源。#ChatGPT协助生成。
Filebeat进阶指南:核心架构与功能组件的深度剖析
最新发布
博客虽小,世界尽在其中
05-29 1636
本文深入探讨了Filebeat的核心架构及其功能组件,为读者提供了对该日志收集器的全面理解。Filebeat作为一个轻量级的日志采集器,凭借其高效、可靠的性能,在日志管理和监控领域占据了重要地位。 文章首先介绍了Filebeat的基本概念和其在日志管理中的作用,强调了它在实时日志收集、处理和转发中的关键作用。随后,文章详细解析了Filebeat的核心架构,包括输入(Inputs)、处理(Processors)、输出(Outputs)等关键组件。 在输入部分,文章详细说明了Filebeat如何监视和收集日
ELK学习之Filebeat 采集多个文件
weixin_60092693的博客
05-05 2657
Filebeat 采集多个文件 filebeat.inputs: # 从这里开始定义每个日志的路径、类型、收集方式等信息 - type: log # 指定收集的类型为 log paths: - /usr/local/nginx/logs/access.log # 设置 access.log 的路径 fields:
Filebeat 使用 Modules 方式收集日志
王清欢的博客
03-11 5035
01 Filebeat模块配置 Filebeat中Modules配置官方文档:官方配置文档 filebeat配置文件/etc/filebeat/filebeat.yml,配置模块路径 # =========================== Filebeat modules ================================ filebeat.config.modules: # Glob pattern for configuration loading path: ${path.c
filebeat 监控多个文件,并且写入不同 index的 elasticsearch
shgh_2004的专栏
08-06 6013
filebeat.yml 的配置 #====================== input ================= filebeat.inputs: - type: log enabled: true paths: - /home/www/test/logs/*/*/info.log tags: ["codeflag-info-log"] fields:...
ansible-role-filebeat:Ansible角色-ELK堆栈的Filebeat
01-29
Filebeat 是 Elastic 公司开发的日志收集代理,它轻量级且易于配置,能够运行在多个服务器上,监控和发送日志到中央日志管理系统,如 Logstash 或直接到 ElasticsearchFilebeat 支持多种操作系统,并且可以监视...
es和filebeat(7.15.0版本)
09-27
5. **多租户**:每个Elasticsearch索引都可以视为一个独立的数据集合,支持多个应用程序在同一集群上运行。 **Filebeat** Filebeat是Elastic Stack中的轻量级日志代理,用于收集和转发日志事件。在7.15.0版本中,...
elasticsearch:Elasticsearch博客
05-15
1. **分布式架构**:Elasticsearch 可以在多个节点上运行,形成一个集群,提供高可用性和容错性。每个节点可以自动发现其他节点并加入集群,数据自动分片,实现横向扩展。 2. **实时性**:Elasticsearch 支持近乎...
multi_beats:Filebeat + metricbeat + Heartbeat的多个实例
04-13
Filebeat是一款轻量级的日志收集代理,它可以实时地从服务器上的日志文件中读取数据,并将其转发到Elasticsearch或Logstash进行索引和分析。在多实例环境中,你可以为不同的服务或应用配置独立的Filebeat实例,以便...
Filebeat 自定义索引
hanjinjuan的博客
02-09 6616
文章目录1、加载外部配置文件1.1 Input config1.2 Module config2、Elasticsearch output2.1 配置模板加载2.2 自定义索引名2.2.1 配置filebeat2.2.2 查看es是否增加了新的索引2.2.3 在kibana上关联es索引 1、加载外部配置文件 1.1 Input config filebeat.config.inputs: enabled: true path: inputs.d/*.yml inputs.d目录下的配置文件示例:
20.ELK-filebeat模块功能收集nginx的普通格式日志
JCWang的博客
07-20 470
filebeat收集nginx的普通格式日志 开通nginx的模块功能 1.开通nginx的模块功能 filebeat modules enable nginx #使用最简单的方式 cd /etc/filebeat/modules.d/ mv nginx.yml.disabled nginx.yml 2、检查是否开启成功 filebeat modules list 修改nginx模块的配置文件 cd /etc/filebeat/modules.d/ vim nginx.yml 把nginx的日志格式还原
elastic stack - Filebeat 入门之 Modules
lm324114的专栏
12-28 303
Filebeat模块简化了公共日志格式的收集、解析和可视化。 一个典型的模块(例如,对于Nginx日志)是由一个或多个fileset组成的(以Nginx为例,access 和 error)。 一个fileset包含以下内容: Filebeat 输入配置,其中包含要默认的查找或者日志文件路径。这些默认路径取决于操作系统。Filebeat配置还负责在需要的时候拼接多行事件。 Elasticse...
Filebeat_学习报告
weixin_70228478的博客
10-23 1126
1.减少导出字段的数量2.使用其他元数据增强事件3.执行其他处理和解码。
filebeat同时采集多个日志时,logstash和filebeat的文件配置
hjxloveqsx的博客
09-15 2233
filebeat同时采集多个日志时,logstash和filebeat的文件配置
filebeat+elk搭建日志平台采集K8s容器应用日志
fh_luchenxi的博客
12-31 3454
filebeat+elk
【ELK】使用filebeat为每个日志创建独立索引
cnskylee的博客
12-24 4354
EFK是ELK日志监控架构中一个较为简单的、轻量级的日志监控框架,主要使用到了FilebeatElasticsearch以及Kibana。Filebeat采集日志,并通过配置为某一类日志(如Tomcat的日志、Nginx的日志等等)创建独立的索引。如果不做独立的配置,那么Filebeat将所有的日志都采用同一个默认索引。 这里使用的EFK的版本都为7.16.2版本,Elastic安装为单节点。EFK的安装配置,我之前的文章有详细说明,这里就不做介绍了。 ...
Filebeat 如何区分不同日志来源
weixin_30443747的博客
12-15 633
刚接手elk就被这个问题困惑过,或许仔细阅读官方文档是最佳方式 提到的场景,Filebeat 虽然能读取不同的日志目录,但是在 Logstash 这边,或者是 Elasticsearch 这边,怎么区分不同 application server 的日志数据呢? 解决方案:Filebeat 的配置项 fields 或者 配置tags 可以实现不同日志来源的区分 filebeat.yml ...
filebeat配置多文件并在logstash中区分索引输出到es中
04-22
好的,这是一个比较常见的问题,一般的解决方案如下: 1. 首先,在filebeat的配置文件中...这个配置文件会根据 fields 中的值判断哪些日志应该属于哪个索引,并将它们输出到对应的索引中。 希望这个回答可以帮到你!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值