Filebeat 根据不同的日志设置不同的索引

最新推荐文章于 2021-12-17 16:41:16 发布
最新推荐文章于 2021-12-17 16:41:16 发布
阅读量7.8k 收藏 7
点赞数 2
分类专栏: Filebeat 文章标签: filebeat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xzk9381/article/details/109535450
版权

推荐阅读

Helm3(K8S 资源对象管理工具)视频教程:https://edu.csdn.net/course/detail/32506
Helm3(K8S 资源对象管理工具)博客专栏:https://blog.csdn.net/xzk9381/category_10895812.html

本文原文链接:https://blog.csdn.net/xzk9381/article/details/109535450,转载请注明出处。如有发现文章中的任何问题,欢迎评论区留言。

平时在物理机上使用 Filebeat 收集日志时,会编写多个 filebeat 配置文件然后启动多个 filebeat 进程来收集不同路径下的日志并设置相对应的索引。那么如果将所有的日志路径都写到一个 filebeat 配置文件中,就需要根据不同的日志来设置索引了。

其实 logstash 也可以实现这个功能。但是此处只演示在 Filebeat 上实现。步骤和讲解如下:

如果希望将不同的日志收集到不同的 Kafka Topics,可以参考我的另一篇文章:https://blog.csdn.net/xzk9381/article/details/114324351

例如现在有如下三个日志文件,需要输出到不同的索引:

access.log     ---->  索引:web-nginx-access-log
error.log      ---->  索引:web-nginx-error-log
blacklist.log  ---->  索引:web-nginx-blacklist-log

所需要的 filebeat 配置文件如下:

filebeat.idle_timeout: 2s
filebeat.name: filebeat-shiper
filebeat.spool_zie: 50000

filebeat.inputs:                             # 从这里开始定义每个日志的路径、类型、收集方式等信息
- type: log                                  # 指定收集的类型为 log
  paths:
   - /usr/local/nginx/logs/access.log        # 设置 access.log 的路径
  fields:                                    # 设置一个 fields,用于标记这个日志
    type: access-log                         # 为 fields 设置一个关键字 type,值为 access-log
  enabled: true
  backoff: 1s
  backoff_factor: 2
  close_inactive: 1h
  encoding: plain
  harvester_buffer_size: 262144
  max_backoff: 10s
  max_bytes: 10485760
  scan_frequency: 10s
  tail_lines: true
- type: log
  paths:
   - /usr/local/nginx/logs/error.log         # 设置 error.log 的路径
  fields:                                    # 设置一个 fields,用于标记这个日志
    type: error-log                          # 为 fields 设置一个关键字 type,值为 error-log
  enabled: true
  backoff: 1s
  backoff_factor: 2
  close_inactive: 1h
  encoding: plain
  harvester_buffer_size: 262144
  max_backoff: 10s
  max_bytes: 10485760
  scan_frequency: 10s
  tail_lines: true
- type: log
  paths:
   - /usr/local/nginx/logs/blacklist.log     # 设置 blacklist.log 的路径
  fields:                                    # 设置一个 fields,用于标记这个日志
    type: blacklist-log                      # 为 fields 设置一个关键字 type,值为 blacklist-log
  enabled: true
  backoff: 1s
  backoff_factor: 2
  close_inactive: 1h
  encoding: plain
  harvester_buffer_size: 262144
  max_backoff: 10s
  max_bytes: 10485760
  scan_frequency: 10s
  tail_lines: true

output.elasticsearch:
  workers: 4
  bulk_max_size: 8192
  hosts:                                     # 设置 elastic 的地址  
  - 10.16.12.206:30187
  - 10.16.12.207:30187
  - 10.16.12.208:30187
  - 10.16.13.214:30187
  - 10.16.13.215:30187
  index: web-nginx-%{[fields.type]}-%{+yyyy.MM.dd}     # 设置索引名称,后面引用的 fields.type 变量。此处的配置应该可以省略(不符合下面创建索引条件的日志,会使用该索引,后续会测试是否是这样)
  indices:                                             # 使用 indices 代表要创建多个索引
    - index: web-nginx-access-log-%{+yyyy.MM.dd}       # 设置 access.log 日志的索引,注意索引前面的 web-nginx 要与setup.template.pattern 的配置相匹配
      when.equals:                                     # 设置创建索引的条件:当 fields.type 的值等于 access-log 时才生效
        fields.type: access-log
    - index: web-nginx-error-log-%{+yyyy.MM.dd}
      when.equals:
        fields.type: error-log
    - index: web-nginx-blacklist-log-%{+yyyy.MM.dd}
      when.equals:
        fields.type: blacklist-log
  
processors:
- drop_fields:
    fields:
    - agent.ephemeral_id
    - agent.hostname
    - agent.id
    - agent.type
    - agent.version
    - ecs.version
    - input.type
    - log.offset
    - version
- decode_json_fields:
    fields:
    - message
    max_depth: 1
    overwrite_keys: true

setup.ilm.enabled: false                    # 如果要创建多个索引,需要将此项设置为 false
setup.template.name: web-nginx-log          # 设置模板的名称
setup.template.pattern: web-nginx-*         # 设置模板的匹配方式,上面索引的前缀要和这里保持一致
setup.template.overwrite: true
setup.template.enabled: true

编辑完成后,启动 filebeat 进程。到 Kibana 中查看索引列表,可以发现已经有三个新创建的索引:

名称                                   运行状况    状态     主分片    副本分片    文档计数    存储大小
web-nginx-access-log-2020.10.28        green     open      1         1         110      73.9kb
web-nginx-error-log-2020.10.28         green     open      1         1         354      155kb
web-nginx-blacklist-log-2020.10.28     green     open      1         1         460      219.5kb

针对这三个索引创建索引模式后,就可以在 Kibana 中对日志进行展示了。

本文原文链接:https://blog.csdn.net/xzk9381/article/details/109535450,转载请注明出处。如有发现文章中的任何问题,欢迎评论区留言。

店伙计
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
(八)Filebeat收集日志方法
Spider_xiaoma的博客
11-22 2264
Filebeat收集日志 input:日志输入,支持log(常用)、stdin、redis output:日志输出,支持elasticsearch、redis、logstash、kafka 1. log(从日志文件中收取日志) 示例: filebeat.inputs: - type: log paths: - /var/log/system.log - /var/log/wifi.log - type: log paths: - "/var/log/apache2/*".
filebeat收集多类型日志设置不同索引
weixin_45203131的博客
01-09 3997
一. filebeat分别收集Nginx正常和错误日志 filebeat配置文件: 1)、filebeat配收集nginx、tomcat日志 filebeat.inputs: ############nginx############## - type: log enabled: true paths: - /var/log/nginx/access.log json.keys_under_root: true json.overwrite_keys: true tags
14filebeat收集多个域名日志并创建不同索引.md
10-29
14filebeat收集多个域名日志并创建不同索引.md
filebeat将收集来的日志存储到自定义名称的es索引(四)
江晓龙的博客
06-09 2110
filebeat自定义索引名称 环境准备 IP 服务 192.168.81.210 es+kibana 192.168.81.220 es+filebeat+nginx 192.168.81.230 filebeat+nginx 1.配置filebeat使用自定义的索引名称 我们配置192.168.81.220的filebeat使用自定义的索引名称 1.1.配置nginx开启json格式的日志 [root@node-2 ~]# vim /etc/nginx/nginx.conf
filebeat自定义索引(不同日志输出到不同索引)
junxuezheng的博客
09-01 8082
filebeat可以实现不同日志(input)输出到不同索引(index) # 向输出的每一条日志添加额外的信息,比如“level:debug”,方便后续对日志进行分组统计。 # 默认情况下,会在输出信息的fields子目录下以指定的新增fields建立子目录,例如fields.level # 这个得意思就是会在es中多添加一个字,格式为 "filelds":{"level":"debug"} #fields: # level: debug 配置文件如下所示 # ======
Filebeat 原理详解/配置文件分析
浮生若梦
10-05 6640
配置文件位置 对于rpm和deb,您将在以下位置找到配置文件/etc/filebeat/filebeat.yml。在Docker下,它位于/usr/share/filebeat/filebeat.yml。对于mac和win以及zip文档,请查看刚刚提取的存档。相同路径下还有一个名为的完整示例配置文件filebeat.reference.yml,显示了所有未弃用的配置选项。 读取日志配置...
使用FileBeat采集MQ日志到Elasticsearch时所需资料
03-22
FileBeat是一款轻量级的日志收集工具,常用于从服务器上收集各种类型的日志,并将其转发到中央日志管理系统,如Elasticsearch。本教程将详细介绍如何使用FileBeat来采集MQ(Message Queue)日志并将其存储到Elastic...
Filebeat 实时收集 Nginx 日志1
08-03
配置完成后,Filebeat 将收集的日志发送至 Elasticsearch,这里需要配置 `output.elasticsearch`,包括 Elasticsearch 服务器的 IP 和端口,以及索引名称,例如 `filebeat_server_nginx_%{+YYYY-MM}`,这里的 `%{+...
日志文件采集工具filebeat,版本8.2.2
06-14
1. **Elasticsearch**:作为数据存储和搜索引擎,接收Filebeat转发的日志数据,支持高效的数据索引和查询。 2. **Kibana**:提供直观的界面,用户可以在这里查看、搜索和分析Filebeat收集的日志,构建仪表板以监控...
12filebeat指定es创建索引名称并在kibana上展示日志数据.md
10-29
12filebeat指定es创建索引名称并在kibana上展示日志数据.md
filebeat收集多个域名网站日志并存储到不同的es索引库(五)
江晓龙的博客
06-09 1087
filebeat收集多个域名日志并创建不同索引 1.为什么要针对不同的应用系统创建不同索引 公司生产环境中一台机器上一定会运行着多个域名的应用,web应用也是集群的方式,如果filebeat收集来的日志都是分散存储,且在es上建立的索引也都是分散的,这样不利于日志的聚合汇总,因此就需要把同一种应用的不同机器上的日志全部采集过来存储到一个索引库中,在kibana根据各种条件去匹配 2.搭建web集群环境 2.1.环境准备 IP 服务 应用 192.168.81.210 nginx01 bbs
ELK配置之,filebeat更改自定义索引名称
12-17 4064
简介: filebeat客户端添加成功后,在kibana查看添加的索引,默认情况下,当索引生命周期管理(ILM)被禁用或不受支持时,Filebeat 使用时间序列索引索引命名格式为 filebeat-7.16.1-yyyy.MM.dd。 如图所示: 一台filebeat还好,可以清楚的分辨,但当多台机器添加后,共用一个索引名,无法分辨,这时需要自定义索引名称。有两种方法更改索引名称。 方法一: 在filebeat.yml文件中,配置setup.template.name和 setup.template.
filebeat修改索引名称
随风飘雁
07-02 4366
需要连接到Elasticsearch才能加载索引模板。 如果输出不是Elasticsearch,则必须手动加载模板。 在Elasticsearch中,索引模板用于定义确定应如何分析字设置和映射。 Filebeat软件包安装了推荐的Filebeat索引模板文件。 如果您在filebeat.yml配置文件中接受默认配置,则Filebeat成功连接到Elasticsearch后将自动加载模板。 配置模板加载 默认情况下,如果启用了Elasticsearch输出,Filebeat将自动加载建议的模板文件fi.
filebeat常见配置项梳理
热门推荐
枕2畔雪的博客
10-16 2万+
filebeat5.2.2prospector(input)配置filebeat.prospectors:每一个prospectors,起始于一个破折号”-“- input_type: log #默认log,从日志文件读取每一行。stdin,从标准输入读取paths:日志文件路径列表,可用通配符,不递归- /var/log/*.logencoding: plain #编码,默认无,pla
filebeat采集一台服务器中的不同日志,并将日志放到ES中的不同索引
qq_37135484的博客
04-17 1777
filebeat.inputs: - type: log enabled: true paths: ?- /usr/local/tomcat/apache-tomcat-8.5.53/logs/catalina.out tags: ["tomcat"] fields: index: "tomcat" - type: log enabled: true pa...
如何使用 Filebeat,ILM 和数据流跨多个索引管理 Elasticsearch 数据
Elastic 中国社区官方博客
03-11 2852
索引是 Elasticsearch 的重要组成部分。 每个索引使你的数据集保持分离和有条理,从而使你可以灵活地以不同方式对待每个数据集,并使其在整个生命周期中都易于管理。 通过提供摄入方法和管理工具来简化流程,Elastic 可以轻松地充分利用索引。 在本文中,我们将使用 Filebeat 将来自多个源的数据摄入到多个索引中,然后将使用索引生命周期管理(ILM)和数据流来进一步控制该数据。 Filebeat 是什么? Filebeat 是一种轻量级的日志传送器,带有许多内置模块,用于从多个数据源.
filebeat elasticsearch index 多个索引
weixin_33716154的博客
02-28 4065
2019独角兽企业重金招聘Python工程师标准>>> ...
filebeat修改索引名字
dinangjia2168的博客
01-30 2763
节点 filebeat版本6.0.0 编辑 filebeat.yml 添加修改如下: #-------------------------- Elasticsearch output ------------------------------setup.template.name: "btcfile"      //修改成自己的名字,名字必须小写,大写报错setup.templ...
filebeat 监控多个文件,并且写入不同 index的 elasticsearch中
shgh_2004的专栏
08-06 6015
filebeat.yml 的配置 #====================== input ================= filebeat.inputs: - type: log enabled: true paths: - /home/www/test/logs/*/*/info.log tags: ["codeflag-info-log"] fields:...
ELK日志归集实战:Filebeat-Kafka-Logstash-Elasticsearch链路解析
"ELK日志归集是一个用于管理和分析日志数据的解决方案,由Elastic Stack中的Elasticsearch、Logstash、Kibana(ELK)以及Filebeat组件构成。此文档详细介绍了如何搭建和使用ELK栈,特别是在日志归集中利用Filebeat和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

店伙计

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值