filebeat配置简单说明

已于 2022-02-27 14:16:38 修改
阅读量4.2k 收藏 10
点赞数 4
分类专栏: 工具 文章标签: elasticsearch elk
于 2022-02-26 14:25:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuegaoxuegao/article/details/123148591
版权
本文详细记录了作者在将服务器日志通过Filebeat收集并经Logstash处理,最终存入Elasticsearch的过程,重点分享了filebeat配置文件的注意事项,包括正则表达式模式、自定义字段和多行匹配策略。
摘要由CSDN通过智能技术生成

最近新上了个项目,昨日把各个服务器的log统一收集到es中.我这边采用的是通过filebeat采集日志文件推给logstash,然后logstash在处理日志输出保存到es中.

在配置filebeat的时候遇到了点小问题,记录一下,供参考


- type: log
  enabled: true
  #必须将ignore_older设置为大于close_inactive
  ignore_older: 1h
  
  #在预定义的时间段后关闭文件处理程序。时间段从读取文件的最后一行开始,而不是从文件最后修改时间开始。可>以使用2小时(2h)、5分钟(5m)等时间字符串。
  close_inactive: 10m
  #注意yaml配置语法中  :   -  后需要有一个空格
  #注意下面为 glob正则匹配模式
  paths:
        - /data/logs/cms-api/*_20[2-9][0-9][0-1][0-9][0-9][0-9].log        - /data/logs/survey-api/*_20[2-9][0-9][0-1][0-9][0-9][0-9].log        - /data/logs/common-api/*_20[2-9][0-9][0-1][0-9][0-9][0-9].log

  #这个正则匹配是 整个文件地址绝对地址的匹配
  exclude_files: ['.*cli_.*log$','.*notice_.*log$']

  #可以自定义自定  下面自定的logType字段归于 fields的下面,传给logstash
  fields:     
     logtype: newApp
     selfFiled: selfValue
  
  #涉及到多行的匹配策略  将不符合的行追加到符合匹配条件的行后面
  multiline.pattern: '^\w{2,}\|\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}'
  multiline.negate: true
  multiline.match: after

官方input配置说明地址Configure inputs | Filebeat Reference [8.0] | Elastic

简单说一下注意事项

  •   filebeat.yml配置文件要遵循yaml语法规范 ,  : 和 - 后面需要有一个空格,不然配置文件虽然能测试通过,但是执行起来报错
  •  一个 - type相当于一个日志收集模块  可以配置多个. 类型不同,下面的配置项也不同. 具体参看完整配置文件 filebeat.reference.yml
  • paths 项的正则匹配是采用的glob模式的.  主要是用来匹配目录的. 跟平时后端语言的正则表达式有差别 .  具体参考 百度百科 glob模式_百度百科​​​​​​
  • exclude_files: ['.*cli_.*log$','.*notice_.*log$']   这个正则匹配是根据每个日志文件绝对路径地址来匹配的 .  常见的后端正则匹配模式
  • fileds 可以自定义字段 传给logstash.  当前配置匹配到的每行日志 会保存在 message字段中,在这个配置项中添加的字段. 会保存在与message同级的fields字段下
  •  多行匹配问题 ,针对异常行,数据不是已一行输出的问题  官方说明详细的很Manage multiline messages | Filebeat Reference [8.0] | Elastic

         参考:Filebeat Reference [8.0] | Elastichttps://www.elastic.co/guide/en/beats/filebeat/current/index.html

xuegaoxuegao
关注
专栏目录
Filebeat模块:简化常见日志格式处理
AI大模型应用之禅
08-03 80
Filebeat模块:简化常见日志格式处理 作者:禅与计算机程序设计艺术 1. 背景介绍 在现代IT系统中,日志数据扮演着至关重要的角色。日志记录了系统运行过程中的各种事件,包括错误、警告、信息等,是问题排查、性能优化、安全审计等工作的重要依据。然而,面对海量的日志
轻量级的日志采集组件 Filebeat 讲解与实战操作
最新发布
别来沾边儿
10-08 1551
Filebeat是一个轻量级的日志数据收集工具,属于Elastic公司的Elastic Stack(ELK Stack)生态系统的一部分。它的主要功能是从各种来源收集日志数据,将数据发送到Elasticsearch、Logstash或其他目标,以便进行搜索、分析和可视化。轻量级:Filebeat是一个轻量级的代理,对系统资源的消耗非常低。它设计用于高性能和低延迟,可以在各种环境中运行,包括服务器、容器和虚拟机。多源收集。
filebeat 配置文件详解
无锋剑
10-21 2752
Filebeat Configuration Example ############### Filebeat #############filebeat:  # List of prospectors to fetch data.  prospectors:    -      # paths指定要监控的日志      paths:        - /var/log/*.log      #指...
filebeat配置文件详解
热门推荐
m0_58969269的博客
01-21 1万+
#filebeat 5.2.2 #prospector(input)段配置 filebeat.prospectors: #每一个prospectors,起始于一个破折号"-" - input_type: log #默认log,从日志文件读取每一行。stdin,从标准输入读取 paths: #日志文件路径列表,可用通配符,不递归 - /var/log/*.log encoding: plain #编码,默认无,plain(不验证或者改变任何输入), latin1, utf...
关于Filebeat模块配置详解
weixin_48226988的博客
12-01 4723
1. 关于Filebeat 当你要面对成百上千、甚至成千上万的服务器、虚拟机和容器生成的日志时,请告别 SSH 吧!Filebeat 将为你提供一种轻量型方法,用于转发和汇总日志与文件,让简单的事情不再繁杂。 关于Filebeat,记住两点: 轻量级日志采集器 输送至 Elasticsearch 或 Logstash,在 Kibana 中实现可视化 2. Filebeat是如何工作的 Filebeat由两个主要组件组成:inputs 和 harvesters (直译:收割机,采集器)。这些组件一起工作
filebeat.yml(中文配置详解
weixin_34194702的博客
03-26 798
        filebeat.yml,是在filebeat安装目录。 [hadoop@HadoopMaster filebeat-1.3.1-x86_64]$ pwd /home/hadoop/app/filebeat-1.3.1-x86_64 [hadoop@HadoopMaster filebeat-1.3.1-x86_64]$ ll total 11116 -rw...
filebeat配置详解
weixin_42689717的博客
09-26 164
ELK详解(十六)——filebeat安装与使用_filebeat配置文件详解
2401_83947398的博客
04-15 642
因此,filebeat常被用在非JAVAf的服务器上用于替代Logstash,收集日志信息。接下来,我们来进行filebeat配置,使其读取日志文件,并将其输出到一个指定的文件中。在上述配置中,使用了file模块作为filebeat的输出,path参数指定了filebeat输出的路径,而filename参数指定了filebeat的文件名。filebeat配置文件是YAML文件,因此配置很严格,因此,必须严格重视缩进和空格!2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?
Elasticsearch+kibana+filebeat安装与配置(单节点)
weixin_45217447的博客
08-04 775
Elasticsearch+kibana+filebeat安装与配置(单节点) 1.背景: Elasticsearch基于Java语言开发,所以在安装Elasticsearch之前必须先安装JDK,Elasticsearch7要求安装JDK1.8以上版本; kibnan在ELK家族中主要起到数据可视化的作用,通过表,图,统计等不同的方式将数据以更加直观的方式显示,同时kibana必须运行于Elasticsearch的基础上,即kibana就是Elasticsearch的可视化GUI; Filebeat是be
filebeat-7.10.0-linux-x86_64.tar.gz
02-02
7. **配置管理**:通过使用Elastic Stack的配置管理工具如Kibana的Management界面,可以远程管理和更新Filebeat配置,方便进行大规模部署。 8. **遥测和健康检查**:Filebeat提供遥测数据,帮助监控其运行状态,...
filebeat配置文件
06-21
elk filebeat 配置文件,下载放到目录下面可以放心使用。
filebeat配置文件
08-30
这个文件主要配置是指定需要发送给远程logstash的本地日志文件地址,以及远程logstash的IP地址和端口
filebeat收集nginx日志的配置文件
02-11
本资源结合我的博客一并使用,用于解决filebeat收集nginx日志用的
filebeat.yml中文配置详解
陈守璐的专栏
07-11 1万+
filebeat.yml(中文配置详解
Filebeat配置文件
AyubLIbra的博客
06-27 406
###################### Filebeat Configuration Example ######################### # This file is an example configuration file highlighting only the most common # options. The filebeat.reference.yml file from the same directory contains all the # supported
filebeat_config介绍
yjph83的专栏
09-22 708
http://blog.csdn.net/xiongzhichao/article/details/51783704 (Filebeat的高级配置-Filebeat部分) http://blog.csdn.net/chengxuyuanyonghu/article/details/54378778 (filebeat 配置文件详解)   filebeat.prospectors: - ...
filebeat的部署和配置
Ben_10_的博客
07-01 1104
一、初始部署及简单使用1.安装filebeat包2.测试运行(配置systemctl文件,让其可以唤起filebeat程序)3.配置输入输出:(filebeat配置文件)4.执行。
springboot filebeat
09-07
Spring Boot 是一个用于开发Java应用程序的框架,而 Filebeat 是一个轻量级的日志数据收集器。当我们在 Spring Boot 应用程序中使用 Filebeat 时,可以通过以下步骤来配置和启动: 1. 下载并安装 Filebeat。可以从官方网站下载 Filebeat,并按照官方文档中的说明进行安装。 2. 配置 Filebeat。在配置文件 filebeat.yml 中,指定要监控的日志文件路径和格式,以及输出到哪个目标(如 Elasticsearch 或 Logstash)。 3. 启动 Filebeat。使用命令行进入 Filebeat 的安装目录,执行命令 `./filebeat -e -c filebeat.yml -d "publish"` 来启动 Filebeat,并将其设置为在前台运行。 4. 重启 Filebeat。如果你修改了 Filebeat配置文件,需要重启 Filebeat 服务才能使新配置生效。可以使用以下命令来查找 Filebeat 进程号 `ps -ef | grep filebeat`,然后使用 `kill` 命令杀死该进程,最后使用 `nohup ./filebeat &` 命令在后台启动 Filebeat 服务。 通过以上步骤,你就可以将 Filebeat 集成到 Spring Boot 应用程序中,实现日志的收集和处理。你可以使用 Kibana 来查看和分析这些日志。具体操作步骤如下: 1. 安装和配置 Kibana。下载并安装 Kibana,并按照官方文档中的说明进行配置。 2. 使用 Kibana 查看日志。打开 Kibana 控制台,在管理界面中创建一个索引模式,将日志数据导入到 Elasticsearch 中。然后在发现界面中,可以使用搜索和过滤功能来查看和分析日志数据。 通过以上步骤,你就可以使用 Spring Boot 和 Filebeat 来收集和查看应用程序的日志了。这样可以更方便地进行故障排查和日志分析。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [[windows环境] 简单整合springboot2.1.3,logstash6.3.1,filebeat6.3.1](https://blog.csdn.net/jiaowo_ccc/article/details/103593285)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [Spring Boot 日志平台 ELK + Filebeat 入门](https://blog.csdn.net/weixin_42073629/article/details/106775090)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值