filebeat配置问题收集

最新推荐文章于 2024-06-13 11:42:37 发布
最新推荐文章于 2024-06-13 11:42:37 发布
阅读量406 收藏 9
点赞数 9
文章标签: elk
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shouldza/article/details/136682828
版权

**下列操作基于filebeat版本为7.14.1和7.17.2和7.10.1中,其他的可以参考这个做调整

1、filebeat配置用日志字段替换@timestamp

下列为日志例子:
{"message":测试文件","context":{},"level":100,"level_name":"DEBUG","channel":"uat","datetime":"2024-03-13T15:30:48.310629+08:00","extra":{"uid":"111111111111111","cid":140379,"hostname":"XXXXXXXXXXXXX","process_id":6000,"memory_usage":"38 MB","file":"/var/www/html/test.php","line":93,"class":"test","function":"basicReplace"}}

目标:将json日志中的datetime的时间替换@timestamp的时间
方法:filebeat.yaml配置processors,具体如下:

filebeat.inputs:

- type: log
  enabled: true
  paths:
     - /app/logs/test-server/*.log
  json.keys_under_root: true
  json.overwrite_keys: true
  fields:
     index: "log-test-%{+yyyy.MM.dd}"
  tags: ["log-test"]
  processors:     #这里的processors是这个log为这个log的
     - timestamp:
         source: "datetime"
         target: "@timestamp"
         field: datetime
         layouts:
            - "2006-01-02T15:04:05.999999999Z07:00" # 这里的格式需要与你的 datetime 字段格式相匹配
  • 注意:processors可以为某个log的,也可以定义为全局的

2、切割某字段提取其中数据生成新字段

原来收集的字段:
{
  "_index": "log-test-2024.03.13",
  "_type": "_doc",
  "_id": "wN7UNo4Bycz3FWFFhTxx",
  "_version": 1,
  "_score": 1,
  "_source": {
    "@timestamp": "2024-03-13T08:01:10.768Z",
    ... ...
    "message": "test数据test数据test数据test数据test数据test数据test数据test数据test数据",
    "context": {},
    "level": 200,
    "log": {
      "offset": 109655,
      "file": {
        "path": "/app/logs/test-server/laravel-2024-03-13.log"
      }
    }
}

目标:将source的log.file.path的值中的test-server切出来,赋值给server_name
方法:filebeat.yaml配置processors,具体如下:

filebeat.inputs:

- type: log
  enabled: true
  paths:
     - /app/logs/test-server/*.log
  json.keys_under_root: true
  json.overwrite_keys: true
  fields:
     index: "log-test-%{+yyyy.MM.dd}"
  tags: ["log-test"]

processors:
  - script:
        lang: javascript
        id: my_filter
        tag: enable
        source: >
          function process(event) {
              var fields_index= event.Get("fields")["index"];
              if(fields_index.indexOf('test') != "-1"){      //根据上面的fields.index做一个判断
                  var path= event.Get("log")["file"]["path"];
                  var app=path.split('/')[3];                       //获取test-server
                  var logfile=path.split('/')[4];                    //获取
                  event.Put("log_file",logfile);
                  event.Put("server_name",app);
              }
              return event;
          }
在肝了在肝了
关注
  • 9
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ElasticSearch+Kibana+Filebeat 采集日志内的json数据
qq_35993868的博客
02-08 1274
ELK学习
filebeat替换采集时间戳@timestamp为日志时间的解决方案(不需要logstash)
BigManing的博客
08-18 1万+
前言 项目有个需求:filebeat采集日志的时间替换为日志时间。通过调研,网上都是用logstash来转换的,大概如下步骤(原理): filter{ grok{ // 1 取出时间 给 一个新字段 patterns_dir => "./patterns" match => { "message" => ["%{IP:source_Ip},%{NUMBER:source_Port},%{IP:dest_Ip},%{NUMBER:dest_Port},
filebeat中一种替换timestamp方法
flying8127的专栏
03-16 954
filebeat
filebeat7.7.0相关详细配置预览- processors - timestamp
BigManing的博客
09-09 2345
转载请标明出处: http://blog.csdn.net/qq_27818541/article/details/108501113 本文出自:【BigManing的博客】 timestamp 从某个字段解析时间戳,并将解析结果写入@timestamp中,可以自定义日志采集时间。 配置如下: processors: 1. timestamp: field: start_time layouts: - '2006-01-02T15:04:05Z' .
ES & Filebeat 使用 Pipeline 处理日志中的 @timestamp
杂货铺子
11-06 8258
使用 Pipeline 处理日志中的 @timestamp Filebeat 收集的日志发送到 ElasticSearch 后,会默认添加一个 @timestamp 字段作为时间戳用于检索,而日志中的信息会全部添加到 message 字段中,但是这个时间是 Filebeat 采集日志的时间,不是日志生成的实际时间,所以为了便于检索日志,需要将 @timestamp 替换为 message 字段中的时间。 这里使用的是 elasticseatch 提供的 pipeline 来进行替换。首先日志格式如下: 20
Filebeat轻量型日志采集器-自定义processors处理器
Ch3nnn的博客
02-26 1452
filebeat通常以配置文件的方式加载插件。让定义一下自定义配置filebeat.inputs : - type : log paths : - example/example.log processors : # 自定义处理器插件 - parse_text : file_has_suffix : example.log output.console : pretty : true。
filebeat将日志发送到kafka不同Topic的方法
soulfire的博客
12-03 5080
版本 filebeat 7.10.0 方法 通过fields参数设置kafka的topic,如下配置文件所示: # ============================== Filebeat inputs =============================== filebeat.inputs: # Each - is an input. Most options can be set at the input level, so # you can use different inputs f
efk7.13搜集java日志-filebeat配置详解
06-29
efk7.13搜集java日志—filebeat配置详解笔记总结
filebeat收集nginx日志的配置文件
02-11
本资源结合我的博客一并使用,用于解决filebeat收集nginx日志用的
filebeat-8.0.0
04-11
Filebeat 的可靠性很强,可以保证日志 At least once 的上报,同时也考虑了日志搜集中的各类问题,例如日志断点续读、文件名更改、日志 Truncated 等。 Filebeat 并不依赖于 ElasticSearch,可以单独存在。我们可以...
filebeat-scrubber:Filebeat Scrubber对Filebeat已完全收集的文件执行操作
04-03
Filebeat洗涤器Filebeat Scrubber对Filebeat已完全收集的文件执行操作。 当前,Filebeat Scrubber支持: 将文件移动到自定义目标目录。 永久删除文件。 为此,Filebeat Scrubber读取Filebeat注册表文件以获取...
filebeat6.4.2
12-19
elk基础组件,用于收集日志用的。 用法:文件上传到服务器,解压修改配置文件即可 用法:文件上传到服务器,解压修改配置文件即可
解决filebeat的@timestamp无法被json日志的同名字段覆盖的问题
cja_java的博客
07-09 2715
默认@timestampfilebeat读取日志时的时间戳,但是我们在读取日志的时候希望根据日志生成时间来展示,以便根据日志生成时间点来定位问题。 这是我生成json日志的格式: {"@timestamp":"2017-03-23T09:48:49.304603+08:00","@source":"vagrant-ubuntu-trusty-64","@fields":{"chann.
filebeat7.7.0相关详细配置预览- processors
BigManing的博客
09-01 1万+
文章目录前言processor1、add_cloud_metadata2、add_cloudfoundry_metadata3、add_cloudfoundry_metadata4、add_fields5、add_host_metadata6、add_id7、add_kubernetes_metadata8、add_kubernetes_metadata9、add_locale10、add_observer_metadata11、add_process_metadata 前言 处理器用于过滤或者增强要发送的
filebeat+elasticsearch从massage中提取字段
码农后花园
03-15 1万+
由于性能问题,采用filebeat+elasticsearch+kiban的架构,该架构中不使用logstash,也就无法进行传统的字段过滤,比如将massage中的信息进行过滤,提出新的字段。但是在elasticsearch 5.0版本以后,elasticsearch中添加了Ingest Node功能,以前如果需要对数据进行加工,都是在索引之前进行处理,比如logstash可以对日志进行结构化和转
filebeat常见配置项梳理
Jerry00713的博客
02-24 6364
filebeat 5.2.2 prospector(input)段配置 filebeat.prospectors: 每一个prospectors,起始于一个破折号”-“ - input_type: log #默认log,从日志文件读取每一行。stdin,从标准输入读取 paths: 日志文件路径列表,可用通配符,不递归 - /var/log/*.log encoding: plain #编码,默认无,plain(不验证或者改变任何输入), latin1, utf-8, utf-16be-b
Logstash将日志产生时间替换@timestamp
热门推荐
零度的博客专栏
07-02 1万+
一、跟着官网学习一下date插件      日期过滤器用于从字段中解析日期,然后使用该日期或时间戳作为事件的logstash时间戳。例如,syslog事件通常具有这样的时间戳:Bash"Apr 17 09:32:01"       你可以使用日期格式MMM dd HH:mm:ss来解析这个。日期过滤器对于排序事件和回填旧数据尤为重要。 如果您在活动中没有找到正确的日期,那么稍后搜索它们可能会排序错...
elk日志分析filebeat配置filebeat + logstash)
wzz_ccr的博客
01-23 1万+
日志格式: nginx_access: { "@timestamp":"2017-01-23T15:16:48+08:00","client": "192.168.0.151","@version":"1","host":"192.168.0.147","size":160,"responsetime":0.000,"domain":"mv.bjfxr.com","url":"/index.h
Spring boot集成log4j及日志配置详解,实战,ELK使用教程。
最新发布
Java码农杂谈
06-13 752
详细介绍了如何在 SpringBoot 项目中集成 Log4j 以及 Log4j 配置文件的各种配置方法。通过合理地配置日志系统,我们能够更好地进行故障排查、性能监控和安全审计。进一步地,通过日志数据采集和分析工具,我们能够实现对日志数据的深度挖掘,为我们的应用提供了更便捷的数据可视化等支持。
filebeat配置
08-25
Filebeat 是一个轻量级的日志数据收集器,用于将日志数据从服务器发送到中央日志存储或分析工具。它支持多种数据源和输出目标,并具有灵活的配置选项。 以下是一个简单的 Filebeat 配置示例: ``` filebeat.inputs: - type: log paths: - /var/log/app.log output.elasticsearch: hosts: ["localhost:9200"] ``` 上面的配置示例指定了一个日志输入(`filebeat.inputs`)和一个 Elasticsearch 输出(`output.elasticsearch`)。`type` 参数指定了输入类型为日志文件,`paths` 参数指定了要收集的日志文件路径。`hosts` 参数指定了 Elasticsearch 的地址和端口。 你可以根据你的需求自定义更多的配置选项,例如添加更多的日志输入、配置输出到其他目标如 Logstash 或 Kafka,以及设置日志过滤、解析和增强等功能。 注意:这只是一个简单的示例配置,你需要根据你的具体环境和需求进行相应的配置调整。请参考 Filebeat 官方文档以获取更多详细信息和配置选项:https://www.elastic.co/guide/en/beats/filebeat/current/index.html

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值