定制CentOS Filebeat的日志采集規則�����,主要通過編輯其配置文件/etc/filebeat/filebeat.yml實現���,以下是具體方法:
- 安裝Filebeat:使用命令
sudo yum install filebeat進行安裝�。
- 編輯配置文件:
- 指定日志路徑:在
filebeat.inputs部分�,通過paths字段指定要采集的日志文件路徑����,可使用通配符�,如paths: - /var/log/*.log���。
- 添加自定義字段:在
fields字段中添加自定義字段�,如fields: {application: "myapp", environment: "production"}����,若要將這些字段放在頂級字段���,可設置fields_under_root: true�。
- 過濾日志:使用
include_lines和exclude_lines字段來包含或排除特定日志行���,如include_lines: ['^ERR', '^WARN']�����,exclude_lines: ['^dbg']���。
- 處理多行日志:通過
multiline字段配置����,如multiline.pattern: '^\['�,multiline.negate: true����,multiline.match: 'after'等����。
- 配置輸出:在
output部分����,指定日志輸出目標���,如輸出到Elasticsearch可配置output.elasticsearch�,設置主機地址和端口等���;輸出到Logstash可配置output.logstash��。
- 保存并重啟:保存配置文件后�,使用
sudo systemctl restart filebeat重啟服務使配置生效�。
- 驗證配置:可通過查看Filebeat日志
sudo journalctl -u filebeat -f��,或查看輸出目標(如Elasticsearch)來確認配置是否正確����。
