filebeat配置简单说明

已于 2022-02-27 14:16:38 修改
阅读量4.1k 收藏 10
点赞数 4
分类专栏: 工具 文章标签: elasticsearch elk
于 2022-02-26 14:25:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuegaoxuegao/article/details/123148591
版权
本文详细记录了作者在将服务器日志通过Filebeat收集并经Logstash处理,最终存入Elasticsearch的过程,重点分享了filebeat配置文件的注意事项,包括正则表达式模式、自定义字段和多行匹配策略。
摘要由CSDN通过智能技术生成

最近新上了个项目,昨日把各个服务器的log统一收集到es中.我这边采用的是通过filebeat采集日志文件推给logstash,然后logstash在处理日志输出保存到es中.

在配置filebeat的时候遇到了点小问题,记录一下,供参考


- type: log
  enabled: true
  #必须将ignore_older设置为大于close_inactive
  ignore_older: 1h
  
  #在预定义的时间段后关闭文件处理程序。时间段从读取文件的最后一行开始,而不是从文件最后修改时间开始。可>以使用2小时(2h)、5分钟(5m)等时间字符串。
  close_inactive: 10m
  #注意yaml配置语法中  :   -  后需要有一个空格
  #注意下面为 glob正则匹配模式
  paths:
        - /data/logs/cms-api/*_20[2-9][0-9][0-1][0-9][0-9][0-9].log        - /data/logs/survey-api/*_20[2-9][0-9][0-1][0-9][0-9][0-9].log        - /data/logs/common-api/*_20[2-9][0-9][0-1][0-9][0-9][0-9].log

  #这个正则匹配是 整个文件地址绝对地址的匹配
  exclude_files: ['.*cli_.*log$','.*notice_.*log$']

  #可以自定义自定  下面自定的logType字段归于 fields的下面,传给logstash
  fields:     
     logtype: newApp
     selfFiled: selfValue
  
  #涉及到多行的匹配策略  将不符合的行追加到符合匹配条件的行后面
  multiline.pattern: '^\w{2,}\|\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}'
  multiline.negate: true
  multiline.match: after

官方input配置说明地址Configure inputs | Filebeat Reference [8.0] | Elastic

简单说一下注意事项

  •   filebeat.yml配置文件要遵循yaml语法规范 ,  : 和 - 后面需要有一个空格,不然配置文件虽然能测试通过,但是执行起来报错
  •  一个 - type相当于一个日志收集模块  可以配置多个. 类型不同,下面的配置项也不同. 具体参看完整配置文件 filebeat.reference.yml
  • paths 项的正则匹配是采用的glob模式的.  主要是用来匹配目录的. 跟平时后端语言的正则表达式有差别 .  具体参考 百度百科 glob模式_百度百科​​​​​​
  • exclude_files: ['.*cli_.*log$','.*notice_.*log$']   这个正则匹配是根据每个日志文件绝对路径地址来匹配的 .  常见的后端正则匹配模式
  • fileds 可以自定义字段 传给logstash.  当前配置匹配到的每行日志 会保存在 message字段中,在这个配置项中添加的字段. 会保存在与message同级的fields字段下
  •  多行匹配问题 ,针对异常行,数据不是已一行输出的问题  官方说明详细的很Manage multiline messages | Filebeat Reference [8.0] | Elastic

         参考:Filebeat Reference [8.0] | Elastichttps://www.elastic.co/guide/en/beats/filebeat/current/index.html

xuegaoxuegao
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELK详解(十六)——filebeat安装与使用_filebeat配置文件详解
2301_76225520的博客
04-11 1218
filebeat是一款轻量级的日志收集工具,可以在非JAVA环境下运行。因此,filebeat常被用在非JAVAf的服务器上用于替代Logstash,收集日志信息。实际上,Filebeat几乎可以起到与Logstash相同的作用,可以将数据转发到Logstash、Redis或者是Elasticsearch中进行直接处理。。
filebeat 配置文件详解
无锋剑
10-21 2648
Filebeat Configuration Example ############### Filebeat #############filebeat:  # List of prospectors to fetch data.  prospectors:    -      # paths指定要监控的日志      paths:        - /var/log/*.log      #指...
FileBeat详解
最新发布
tian830937的专栏
06-30 1987
beats是一个代理,将不同类型的数据发送到elasticsearch。beats可以直接将数据发送到elasticsearch,也可以通过logstash将数据发送elasticsearch。beats有三个典型的例子:Filebeat、Topbeat、Packetbeat。Filebeat用来收集日志,Topbeat用来收集系统基础设置数据如cpu、内存、每个进程的统计信息,Packetbeat是一个网络包分析工具,统计收集网络信息。这三个是官方提供的。后续会慢慢介绍这三个beat。
filebeat.yml(中文配置详解
weixin_34194702的博客
03-26 739
        filebeat.yml,是在filebeat安装目录。 [hadoop@HadoopMaster filebeat-1.3.1-x86_64]$ pwd /home/hadoop/app/filebeat-1.3.1-x86_64 [hadoop@HadoopMaster filebeat-1.3.1-x86_64]$ ll total 11116 -rw...
filebeat配置文件详解
热门推荐
m0_58969269的博客
01-21 1万+
#filebeat 5.2.2 #prospector(input)段配置 filebeat.prospectors: #每一个prospectors,起始于一个破折号"-" - input_type: log #默认log,从日志文件读取每一行。stdin,从标准输入读取 paths: #日志文件路径列表,可用通配符,不递归 - /var/log/*.log encoding: plain #编码,默认无,plain(不验证或者改变任何输入), latin1, utf...
filebeat.yml中文配置详解
陈守璐的专栏
07-11 1万+
filebeat.yml(中文配置详解
Filebeat配置文件
AyubLIbra的博客
06-27 373
###################### Filebeat Configuration Example ######################### # This file is an example configuration file highlighting only the most common # options. The filebeat.reference.yml file from the same directory contains all the # supported
Filebeat 安装、配置
beyond_qjm的博客
08-22 7600
        ELK实战:https://blog.csdn.net/beyond_qjm/article/details/81943187   一、下载      https://www.elastic.co/downloads/past-releases      https://artifacts.elastic.co/downloads/beats/filebeat/filebe...
Elasticsearch+kibana+filebeat安装与配置(单节点)
weixin_45217447的博客
08-04 730
Elasticsearch+kibana+filebeat安装与配置(单节点) 1.背景: Elasticsearch基于Java语言开发,所以在安装Elasticsearch之前必须先安装JDK,Elasticsearch7要求安装JDK1.8以上版本; kibnan在ELK家族中主要起到数据可视化的作用,通过表,图,统计等不同的方式将数据以更加直观的方式显示,同时kibana必须运行于Elasticsearch的基础上,即kibana就是Elasticsearch的可视化GUI; Filebeat是be
filebeat-7.10.0-linux-x86_64.tar.gz
02-02
7. **配置管理**:通过使用Elastic Stack的配置管理工具如Kibana的Management界面,可以远程管理和更新Filebeat配置,方便进行大规模部署。 8. **遥测和健康检查**:Filebeat提供遥测数据,帮助监控其运行状态,...
filebeat配置文件
06-21
elk filebeat 配置文件,下载放到目录下面可以放心使用。
filebeat配置文件
08-30
这个文件主要配置是指定需要发送给远程logstash的本地日志文件地址,以及远程logstash的IP地址和端口
filebeat收集nginx日志的配置文件
02-11
本资源结合我的博客一并使用,用于解决filebeat收集nginx日志用的
第4课:Filebeat高级应用
桃花惜春风
03-25 1588
文章目录课前三分钟 课前三分钟
Filebeat模块:简化常见日志格式处理
AGI通用人工智能之禅
05-31 41
Filebeat模块:简化常见日志格式处理 作者:禅与计算机程序设计艺术 1. 背景介绍 在现代IT系统中,日志数据扮演着至关重要的角色。日志记录了系统运行过程中的各种事件,包括错误、警告、信息等,是问题排查、性能优化、安全审计等工作的重要依据。然而,面对海量的日志
关于Filebeat模块配置详解
weixin_48226988的博客
12-01 4425
1. 关于Filebeat 当你要面对成百上千、甚至成千上万的服务器、虚拟机和容器生成的日志时,请告别 SSH 吧!Filebeat 将为你提供一种轻量型方法,用于转发和汇总日志与文件,让简单的事情不再繁杂。 关于Filebeat,记住两点: 轻量级日志采集器 输送至 Elasticsearch 或 Logstash,在 Kibana 中实现可视化 2. Filebeat是如何工作的 Filebeat由两个主要组件组成:inputs 和 harvesters (直译:收割机,采集器)。这些组件一起工作
filebeat配置详解
weixin_42689717的博客
09-26 143
filebeat配置
08-25
Filebeat 是一个轻量级的日志数据收集器,用于将日志数据从服务器发送到中央日志存储或分析工具。它支持多种数据源和输出目标,并具有灵活的配置选项。 以下是一个简单Filebeat 配置示例: ``` filebeat.inputs: - type: log paths: - /var/log/app.log output.elasticsearch: hosts: ["localhost:9200"] ``` 上面的配置示例指定了一个日志输入(`filebeat.inputs`)和一个 Elasticsearch 输出(`output.elasticsearch`)。`type` 参数指定了输入类型为日志文件,`paths` 参数指定了要收集的日志文件路径。`hosts` 参数指定了 Elasticsearch 的地址和端口。 你可以根据你的需求自定义更多的配置选项,例如添加更多的日志输入、配置输出到其他目标如 Logstash 或 Kafka,以及设置日志过滤、解析和增强等功能。 注意:这只是一个简单的示例配置,你需要根据你的具体环境和需求进行相应的配置调整。请参考 Filebeat 官方文档以获取更多详细信息和配置选项:https://www.elastic.co/guide/en/beats/filebeat/current/index.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值