Filebeat的一些重要配置

最新推荐文章于 2025-08-29 13:48:07 发布
原创 最新推荐文章于 2025-08-29 13:48:07 发布 · 1w 阅读 · 18 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#filebeat

本文详细介绍了如何优化Filebeat配置以提高大文件的采集效率,包括增大`bulk_max_size`以减少批量请求次数,增加`worker`数量以提高并发,调整`harvester_buffer_size`以增加单次读取文件的大小。同时,讨论了如何利用`registry`、`clean_inactive`和`clean_removed`等参数实现文件的重新采集。在文件重命名或删除的场景下,讨论了`close_ *`参数的作用,以确保在不影响采集的情况下正确处理文件操作。

文章目录


最近和一些客户交流,发现他们在使用filebeat进行文件采集的时候,主要的场景并不是以行为单位进行采集,而是以文件为单位进行采集。比如,一些实验数据是以文件的形式生成的,即filebeat的监控目录中会在实验结束后,添加数个实验结果的文件,这些文件有以下特点:

  • 文件内容很大,从十万行到千万行级别不等
  • 文件是一次性的变动,即直接移动到监控目录当中,之后不会再有改动
  • 文件可能会有重命名或者删除操作

因为filebeat的默认监控对象是日志型文件,即数据会持续以行为单位输出到文件当中。因此filebeat的默认设置都是按照持续扫描,监控rotate的方式来完成数据采集的。因而,针对以上提到的结果型文件的一次性特点,我们需要对filebeat的配置进行一些特定的修改。

如何提高文件采集效率

对于结果型文件,大多数时候,这些文件都是很大的,动辄几十M,多辄几百M,文件由十万行到千万行级别不等。
举个例子,这是一个172247行的文件,文件大小在11M左右
在这里插入图片描述
使用filebeat的默认配置,我们会发现这个文件的采集大概需要花费5~10分钟。如果一个文件有上千万行,那么这个文件的采集可以达到1000分钟,这对我们来说是不可接受的。
这里,是什么限制了filebeat的采集速率?

bulk_max_size

  # The maximum number of events to bulk in a single Elasticsearch bulk API index request.
  # The default is 50.
  bulk_max_size: 50

这个是output.elasticsearch的属性,控制发送给Elasticsearch的bulk API中,每批数据能包含多少条event,默认情况下,我们是每行数据一个document(或者说是event),因此,每次filebeat默认只会发送50行数据,因此,当我们添加进来的数据由几十万行的时候,可以简单推算,我们需要推送多少次bulk request才能完成这个文件的数据录入

因此,我们可以综合考虑并发的环境来修改此参数。比如,我们所有的数据集中在几台机器上,只有几个filebeat实例在负责数据的录入时,我们可以把这个数据适当调大到500~1000的级别。需根据ES的吞吐,可以参考我们的benchmark:
在这里插入图片描述
如何读懂这些指标可以参考我的另一篇博文:如何解读Elasticsearch benchmark上的各种指标

可以看到,使用SSD的情况下,3节点可以达到10万+的吞吐。比如说,我们现在只有3个filebeat进行专门的文件录入(通常这种情况下,存储文件的服务器并没有其他的服务需要运行),我们甚至可以让filebeat的在一个bulk request发送数千条event,当然,这个需要结合单条event的size,比如,一条event只有几十个byte,那么一次bulk request即便包含1000条event也只有几十K的大小,即我们可以再调大这个参数。

worker

  # Number of workers per Elasticsearch host.
  worker: 1

这个也是output.elasticsearch的属性,我们可以指定filebeat使用多高的并发来往Elastic发送数据,我们也可以适当的增加这个值,比如我们的ES集群有3个data节点 hosts: ["10.0.07:9200","10.0.08:9200","10.0.09:9200"],我们可以把这个worker设为 3
结合上一个设置bulk_max_size: 1000,则我们可以达到更高的吞吐

harvester_buffer_size

  # Defines the buffer size every harvester uses when fetching the file
  harvester_buffer_size: 16384

这个是Log input的属性,这个属性限定了单个文件采集器harvester每次读取文件的大小,默认的大小是16K。如果我们要增加某些文件的读取吞吐,可以调整这个值的大小。可以通过定义多个input,每个input单独指定的方式来确定不同文件的吞吐大小,比如下面的配置,两个文件的吞吐就不一样:

filebeat.inputs:
- type: log
  paths:
  - '/Users/lex.li/Downloads/2020_04_11/平台指标/db_oracle_11g.csv'
  exclude_lines: ['^"?itemid"?,"?name"?,"?bomc_id"?,"?timestamp"?,"?value"?,"?cmdb_id"?']
  harvester_buffer_size: 1638400
-
最低0.47元/天 解锁文章
2、filebeat安装配置
xuebo1129927648的博客
06-01 152
如果你需要收集其他类型的日志,可以按照下面的格式添加输入配置
filebeat的基本配置(基本配置
Junzizhiai的博客
03-02 4358
filebeat 输入配置编写(基本配置) EFK 中filebeat的文件输入 抽取本地文件的配置文件编写 filebeat.inputs: - type: log enabled: true paths: - /var/log/*.log #- /var/log/*/*.log # 抽取普通日志。模块格式化抽取。 - type: log paths: - "/var/log/apache2/*" fields: apache: true fields
ELK-日志服务【filebeat-安装使用】
L596462013的博客
07-12 1939
如果挨个配置会变得很麻烦,我们可以将这些日志进行统一几种管理,使用rsyslog将本地所有类型的日志都写入到/var/log/all.log文件中,然后使用filebeat对该文件进行收集。方式一、修改nginx的日志格式 json 方式二、filebeat —> logstash。系统日志包含messages、secure、cron、dmesg、ssh、boot等。
ELK之Filebeat安装配置及日志抓取
一掬净土
01-14 1767
轻量型日志采集器无论您是从安全设备、云、容器、主机还是 OT 进行数据收集,Filebeat 都将为您提供一种轻量型方法,用于转发和汇总日志与文件,让简单的事情不再繁杂。Filebeat 随附可观测性和安全数据源模块,这些模块简化了常见格式的日志的收集、解析和可视化过程,只需一条命令即可。之所以能实现这一点,是因为它将自动默认路径(因操作系统而异)与 Elasticsearch 采集节点管道的定义和 Kibana 仪表板组合在一起。
filebeat.yml配置文件
最新发布
qq_34093116的博客
08-29 762
================================= Processors (事件处理器) ====================================# ================================= Outputs (数据输出目的地) ==================================# 日志文件的基本名称。# '*' 会匹配 /Users/admin/data/project/ 目录下的任何子目录(即您的项目名),
docker搭建简单elk日志系统4(filebeat配置文件本地调试)
weixin_44835704的博客
04-12 649
其中收集到的文本内容在根节点的message字段中,filebeat输出的json数据不仅包含收集的内容,还默认会收集一些其他信息,如主机名、filebeat版本、收集的时间、收集内容来源等等。filebeat收集日志默认是通过行来收集的,但是java应用程序如果出现报错会在日志中打印出栈信息,就会导致一条日志出现多行内容。filebeat收集错误日志(此时已经将多行错误日志在filebeat中收集成了一个文档)到这里,一个简单的收集java日志的filebeat配置文件就完成了。
filebeat 配置文件详解
无锋剑
10-21 2898
Filebeat Configuration Example ############### Filebeat #############filebeat:  # List of prospectors to fetch data.  prospectors:    -      # paths指定要监控的日志      paths:        - /var/log/*.log      #指...
filebeat配置
a807719447的专栏
10-10 616
在这里你可以下载到es各种项目得历史版本 https://www.elastic.co/cn/downloads/past-releases 什么是beats? 在elastic体系中beat是各种各样收集器得代名词,beat与你得项目部署在同一个服务器下,他可以直接将数据发送给Elasticsearch 或者logstash 做再过滤处理后输出到你想输出得地方,比如elasticsearch或者...
filebeat多行合并配置文件.txt
01-03
在深入探讨多行日志合并配置之前,我们需要了解一些基本概念: 1. **日志行**:通常指由一个换行符(`\n`)分隔的文本块。 2. **多行日志**:当一条完整的日志信息跨越多行时,称其为多行日志。 3. **合并策略**:...
Filebeat 6.3.1单机配置与运行教程
在上述给定的文件信息中,我们可以提取到的关键知识点涉及到了“filebeat”这一特定的软件工具,以及它的版本号和配置状态。以下是关于filebeat软件的详细介绍和知识点。 ### Filebeat基本概念 Filebeat是一款轻量...
filebeatfilebeatfilebeat
03-21
Filebeat是 Elastic Stack 的一个重要组件,它是一款轻量级的日志收集工具,广泛应用于日志监控、日志传输以及日志分析场景。标题和描述中重复的"filebeatfilebeatfilebeat"可能是因为输入错误,这里我们将重点讲解...
Filebeat配置(ELK)
qq_1801743621的博客
12-12 1283
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、Filebeat简介1.Filebeat是什么2.工作流程二、使用步骤1.logback配置2.Filebeat配置总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了
filebeat配置文件
06-21
elk filebeat 配置文件,下载放到目录下面可以放心使用。
filebeat配置文件
08-30
这个文件主要配置是指定需要发送给远程logstash的本地日志文件地址,以及远程logstash的IP地址和端口
filebeat配置
m0_57781407的博客
07-01 302
配置
filebeat 配置说明
wy
07-12 1439
https://www.elastic.co/guide/en/beats/filebeat/current/filebeat-overview.html # 其主要由三部分构成: # https://www.elastic.co/guide/en/beats/filebeat/current/how-filebeat-works.html prospector "探测器" # 其管理所有 Harvsters 并找到所有需读取的数据源,启动时会启动一或若干 prospectors 探测器进程去检测指定
FileBeat安装配置
程序猿·李的博客
11-11 2824
Filebeat 是属于 Beats 家族的日志传送器——一组安装在主机上的轻量级传送器,用于将不同类型的数据传送到 ELK 堆栈中进行分析。每个节拍都专用于传送不同类型的信息——例如,Winlogbeat 传送 Windows 事件日志,Metricbeat 传送主机指标等等。Filebeat,顾名思义,提供日志文件。
filebeat的部署和配置
Ben_10_的博客
07-01 1673
一、初始部署及简单使用1.安装filebeat包2.测试运行(配置systemctl文件,让其可以唤起filebeat程序)3.配置输入输出:(filebeat配置文件)4.执行。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值