[Filebeat7.6]
日志输入
filebeat.inputs:
- type: log
paths:
- /var/log/*.log
- /var/path2/*.log
您可以添加额外的 配置设置(如fields, include_lines,exclude_lines,multiline,等),从这些文件中获取行。您指定的选项将应用于此输入收集的所有文件。
要将不同的配置设置应用于不同的文件,您需要定义多个输入节:
filebeat.inputs:
- type: log
paths:
- /var/log/system.log
- /var/log/wifi.log
- type: log
paths:
- "/var/log/apache2/*"
fields:
apache: true
fields_under_root: true
确保在所有input中每个文件只定义一次,因为定义多次这可能导致意外的行为。
配置选项
-
paths
将获取的Glob的路径的列表。这里也支持Go Glob支持的所有模式。
例如,将所有文件从子目录的获取,/var/log/*/*.log,将从/var/log的子文件夹中提取所有.log文件。它不会从/var/log文件夹本身获取日志文件。可以使用可选recursive_glob设置以递归方式获取目录所有子目录中的所有文件。
-
recursive_glob.enabled
默认开启,启用扩展**为递归glob模式。它将单个扩展**为8级深度*模式。
-
encoding
用于读取包含国际字符的数据的文件编码。请参阅W3C建议在HTML5中使用的编码名称。
-
exclude_lines
正则表达式列表,匹配要排除的行。Filebeat会删除列表中与正则表达式匹配的所有行。默认情况下,不删除任何行。空行将被忽略。
如果还指定了多行设置,则在用过滤各行之前,将每条多行消息合并为一行exclude_lines。
以下示例将Filebeat配置为删除以开头的任何行 DBG。
filebeat.inputs:
- type: log
...
exclude_lines: ['^DBG']
支持的正则表达式模式的列表,请参见正则表达式支持。
-
include_lines
正则表达式列表,以匹配您要匹配的行。Filebeat仅匹配与列表中的正则表达式匹配的行。默认情况下,所有行均被导出。空行将被忽略。
如果还指定了多行设置,则在用过滤各行之前,将每条多行消息合并为一行include_lines。
以下示例将Filebeat配置为导出以ERR或开头的任何行WARN:
filebeat.inputs:
- type: log
...
include_lines: ['^ERR', '^WARN']
NOTE
如果同时定义了include_lines和exclude_lines,首先执行include_lines,然后执行exclude_lines`。定义两个选项的顺序无关紧要。
以下示例匹配所有包含的日志行sometext,但以DBG(调试消息)开头的行除外
filebeat.inputs:
- type: log
...
include_lines: ['sometext']
exclude_lines: ['^DBG']
harvester_buffer_size
在获取文件时使用的缓冲区大小(以字节为单位)。默认值为16384。
max_bytes
一条日志消息可以具有的最大字节数。之后的所有字节 max_bytes将被丢弃而不发送。此设置对于可能会变大的多行日志消息特别有用。默认值为10MB(10485760)。
json
这些选项使Filebeat可以解码结构化为JSON消息的日志。Filebeat逐行处理日志,因此,只有每行有一个JSON对象时,JSON解码才有效。
multiline
控制Filebeat如何处理跨多行的日志消息的选项。有关配置多行选项的更多信息,请参见多行消息。
ignore_older
如果启用此选项,则Filebeat将忽略在指定时间跨度之前修改的所有文件。ignore_older如果长时间保留日志文件,则配置特别有用。例如,如果要启动Filebeat,但只想发送最新的文件和上周的文件,则可以配置此选项。
您可以使用2h(2小时)和5m(5分钟)之类的时间字符串。默认值为0,将禁用设置。注释掉配置与将其设置为0具有相同的效果。
important
您必须设置ignore_older为大于close_inactive。
受此设置影响的文件分为两类:
- 从未收集过的文件
- 收获但未更新的文件的时间不超过
ignore_older
scan_frequency
Filebeat多久检查一次指定用于收集的路径中的新文件。指定1s可以尽可能频繁地扫描目录,而不会导致Filebeat频繁扫描。我们不建议设置此值<1s。
如果您需要近乎实时地发送日志行,设置 scan_frequency调整,close_inactive以使文件处理程序保持打开状态并不断轮询文件。
默认设置为10秒。
常用选项
enabled
使用该enabled选项可以启用和禁用输入。默认情况下,启用设置为true。
tags
Filebeat包含在tags每个已发布事件的字段中的标签列表。使用标记,可以轻松地在Kibana中选择特定事件或在Logstash中应用条件过滤。这些标签将被添加到常规配置中指定的标签列表中。
例:
filebeat.inputs:
- type: log
. . .
tags: ["json"]
fields
您可以指定可选字段以将其他信息添加到输出中。例如,您可以添加可用于过滤日志数据的字段。字段可以是标量值,数组,字典或它们的任何嵌套组合。默认情况下,您在此处指定的字段将被分组fields到输出文档中的子词典下。要将自定义字段存储为顶级字段,请将fields_under_root选项设置为true。如果在常规配置中声明了重复字段,则其值将被此处声明的值覆盖。
filebeat.inputs:
- type: log
. . .
fields:
app_id: query_engine_12
fields_under_root
如果将此选项设置为true,则自定义 字段将作为顶级字段存储在输出文档中,而不是分组在fields子词典下。如果自定义字段名称与Filebeat添加的其他字段名称冲突,则自定义字段将覆盖其他字段。
processors
应用于输入数据的处理器列表。
有关在配置中指定处理器的信息,请参阅处理器。
pipeline
要为此输入生成的事件设置的接收节点管道ID。
也可以在Elasticsearch输出中配置管道ID,但是此选项通常会导致配置文件更简单。如果在输入和输出中都配置了管道,则使用输入中的选项。
keep_null
如果将此选项设置为true,则带有null值的字段将发布在输出文档中。默认情况下,keep_null设置为false。
index
如果存在,此格式化的字符串将覆盖来自此输入的事件的索引(对于elasticsearch输出),或者设置raw_index事件的元数据的字段(对于其他输出)。该字符串只能引用代理名称和版本以及事件时间戳。用于访问动态字段,使用 output.elasticsearch.index或处理器。
值示例:"%{[agent.name]}-myindex-%{+yyyy.MM.dd}"可能扩展为"filebeat-myindex-2019.11.01"。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
