在Debian上自定義Filebeat的輸出���,您需要編輯Filebeat的配置文件filebeat.yml
-
打開終端�����。
-
使用文本編輯器打開filebeat.yml文件���。例如�����,使用nano編輯器:
sudo nano /etc/filebeat/filebeat.yml
-
在filebeat.yml文件中�����,找到output部分����。如果沒有這個部分���,您可以在filebeat.yml文件的末尾添加一個���。
-
在output部分下��,您可以定義多個輸出模塊���。例如����,如果您想將日志發送到Elasticsearch和Logstash����,您可以這樣配置:
output:
elasticsearch:
hosts: ["localhost:9200"]
index: "filebeat-%{[agent.version]}-%{+yyyy.MM.dd}"
logstash:
hosts: ["localhost:5000"]
在這個例子中�,我們將日志發送到本地的Elasticsearch實例(端口9200)和Logstash實例(端口5000)���。您可以根據需要修改這些值���。
- 如果您想為特定的事件類型定義不同的輸出����,您可以使用
processors部分��。例如����,將錯誤日志發送到另一個Elasticsearch索引:
processors:
- if [loglevel] == "error" {
drop_fields: ["message", "beat", "source", "offset"]
add_fields:
output: "error_logs"
}
output:
elasticsearch:
hosts: ["localhost:9200"]
index: "filebeat-%{[agent.version]}-%{+yyyy.MM.dd}"
when_contains:
output: "error_logs"
field: "output"
在這個例子中��,我們使用processors部分檢查日志級別是否為"error"����。如果是���,我們將事件發送到名為"error_logs"的輸出�����。
-
完成更改后�����,保存并關閉filebeat.yml文件���。
-
重新啟動Filebeat服務以應用更改:
sudo systemctl restart filebeat
現在��,Filebeat將按照您自定義的輸出配置發送日志�。
