定制Ubuntu Filebeat的日志采集規則�����,主要通過編輯配置文件/etc/filebeat/filebeat.yml實現�,以下是具體方法:
- 安裝Filebeat:若未安裝�����,可使用命令
sudo apt-get update和sudo apt-get install filebeat進行安裝����。
- 配置日志路徑:在
filebeat.inputs部分�,通過paths參數指定要采集的日志文件路徑�,可使用通配符����。如filebeat.inputs: - type: log enabled: true paths: - /var/log/*.log��。
- 添加自定義字段:使用
fields參數添加自定義字段��,fields_under_root設置為true可將字段提升到事件頂層����。例如fields: app: myapp environment: production fields_under_root: true�����。
- 處理日志行:通過
include_lines和exclude_lines參數進行行級過濾����,用正則表達式指定包含或排除的行�����。如include_lines: ['^ERROR', '^WARN']�。
- 合并多行日志:對于多行日志���,如Java堆棧跟蹤����,可配置
multiline參數��。pattern指定多行起始行的正則�,negate和match控制合并方式�����。
- 配置輸出目標:在
output部分���,指定日志輸出的目標����,如Elasticsearch��、Logstash等���。以輸出到Elasticsearch為例���,配置為output.elasticsearch: hosts: ["localhost:9200"]�。
- 性能調優:可根據需要調整
scan_frequency�、close_inactive等參數����,以平衡實時性與資源消耗���。
