Filebeat常用配置
filebeat配置文件例子
filebeat.prospectors:- input_type: logtags: ["wap-accesslog-tags-include","www1"]ignore_older: 2henabled: truepaths: ["/root/logs/wap.*","/root/logs/wap_iv.*"]include_lines: ["^ERR", "^WARN"]- input_type: logtags: ["wap-accesslog-tags-exclude","www1"]ignore_older: 2henabled: truepaths: ["/root/logs/wap.*","/root/logs/wap_iv.*"]exclude_lines: [".gz$"]output.logstash:hosts: ["IP地址:5044"]logging.level: info logging.to_files: true logging.to_syslog: false logging.files: path: /var/log/filebeat name: mybeat.log輸入
input_type:相當于一個輸入的開始,每個文件可以有幾個input和幾個output,是指定Filebeat采集數據類型。指定文件的輸入類型log(默認)或者stdin。
tags: 給Filebeat采集到的數據加上標簽(讓output的地方使用),可以有幾個。
篩選
(以方便下一步的數據處理工具針對數據類型進行分類處理,如Logstash)
ignore_older: 如果啟用此選項,Filebeat 將忽略在此屬性指定時間之前修改的任何文件以及更新時間比此屬性指定時間更長的文件。
paths: 指定采集的日志文件,可以支持通配符,可以有幾個。
include_lines: 指定正則表達式,用來指定要匹配的行,在輸入中匹配符合正則表達式列表的那些行,可以有幾個。
exclude_lines: 指定正則表達式,用來指定不要匹配的行,在輸入中排除符合正則表達式列表的那些行,可以有幾個。
encoding:指定被監控的文件的編碼類型,使用plain和utf-8都是可以處理中文日志的。
顯示filebeat自身的日志
logging.level: info
logging.to_files: true
logging.to_syslog: false
logging.files:
path: /var/log/filebeat
name: mybeat.log
可以設置日志的level,路徑,名字
不常用的:
fields:向輸出的每一條日志添加額外的信息,比如“level:debug”,方便后續對日志進行分組統計。默認情況下,會在輸出信息的fields子目錄下以指定的新增fields建立子目錄,例如fields.level。
fields_under_root:如果該選項設置為true,則新增fields成為頂級目錄,而不是將其放在fields目錄下。自定義的field會覆蓋filebeat默認的field。
close_older:如果一個文件在某個時間段內沒有發生過更新,則關閉監控的文件handle。默認1h,change只會在下一次scan才會被發現
force_close_files:Filebeat會在沒有到達close_older之前一直保持文件的handle,如果在這個時間窗內刪除文件會有問題,所以可以把force_close_files設置為true,只要filebeat檢測到文件名字發生變化,就會關掉這個handle。
scan_frequency:Filebeat以多快的頻率去prospector指定的目錄下面檢測文件更新(比如是否有新增文件),如果設置為0s,則Filebeat會盡可能快地感知更新(占用的CPU會變高)。默認是10s。
document_type:設定Elasticsearch輸出時的document的type字段,也可以用來給日志進行分類。
harvester_buffer_size:每個harvester監控文件時,使用的buffer的大小。
max_bytes:日志文件中增加一行算一個日志事件,max_bytes限制在一次日志事件中最多上傳的字節數,多出的字節會被丟棄。
multiline:適用于日志中每一條日志占據多行的情況,比如各種語言的報錯信息調用棧。
tail_files:如果設置為true,Filebeat從文件尾開始監控文件新增內容,把新增的每一行文件作為一個事件依次發送,而不是從文件開始處重新發送所有內容。
backoff:Filebeat檢測到某個文件到了EOF之后,每次等待多久再去檢測文件是否有更新,默認為1s。
max_backoff:Filebeat檢測到某個文件到了EOF之后,等待檢測文件更新的最大時間,默認是10秒。
backoff_factor:定義到達max_backoff的速度,默認因子是2,到達max_backoff后,變成每次等待max_backoff那么長的時間才backoff一次,直到文件有更新才會重置為backoff。
spool_size:spooler的大小,spooler中的事件數量超過這個閾值的時候會清空發送出去(不論是否到達超時時間)。
idle_timeout:spooler的超時時間,如果到了超時時間,spooler也會清空發送出去(不論是否到達容量的閾值)。
registry_file:記錄filebeat處理日志文件的位置的文件
config_dir:如果要在本配置文件中引入其他位置的配置文件,可以寫在這里(需要寫完整路徑),但是只處理prospector的部分。
publish_async:是否采用異步發送模式(實驗功能)。
輸出
Filebeat可以指定輸出源(如下一些簡單配置的輸出源配置):
輸出到Logstash
output.logstash:
hosts: [“localhost:5044”]
(localhost為logstash所在的ip地址,可以改為192.168.1.152等)
(5044位logstash監控的端口,需要與logstash的配置文件對應)
輸出到File
output.file:
path: “/tmp/filebeat”
filename: filebeat
輸出到控制臺
output.console:
pretty: true
總結
以上是生活随笔為你收集整理的Filebeat常用配置的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: centos7安装Filebeat采集日
- 下一篇: Filebeat配置module采集ng