filebeat 配置文件参数
2024-10-13 01:03:55
filebeat 配置
所有的 beats 组件在 output 方面的配置都是一致的,之前章节已经介绍过。这里只介绍 filebeat 在 input 段的配置,如下:
filebeat:
spool_size: 1024 # 最大可以攒够 1024 条数据一起发送出去
idle_timeout: "5s" # 否则每 5 秒钟也得发送一次
registry_file: ".filebeat" # 文件读取位置记录文件,会放在当前工作目录下。所以如果你换一个工作目录执行 filebeat 会导致重复传输!
config_dir: "path/to/configs/contains/many/yaml" # 如果配置过长,可以通过目录加载方式拆分配置
prospectors: # 有相同配置参数的可以归类为一个 prospector
-
fields:
ownfield: "mac" # 类似 logstash 的 add_fields
paths:
- /var/log/system.log # 指明读取文件的位置
- /var/log/wifi.log
include_lines: ["^ERR", "^WARN"] # 只发送包含这些字样的日志
exclude_lines: ["^OK"] # 不发送包含这些字样的日志
-
document_type: "apache" # 定义写入 ES 时的 _type 值
ignore_older: "24h" # 超过 24 小时没更新内容的文件不再监听。在 windows 上另外有一个配置叫 force_close_files,只要文件名一变化立刻关闭文件句柄,保证文件可以被删除,缺陷是可能会有日志还没读完
scan_frequency: "10s" # 每 10 秒钟扫描一次目录,更新通配符匹配上的文件列表
tail_files: false # 是否从文件末尾开始读取
harvester_buffer_size: 16384 # 实际读取文件时,每次读取 16384字节
backoff: "1s" # 每 1 秒检测一次文件是否有新的一行内容需要读取
paths:
- "/var/log/apache/*" # 可以使用通配符
exclude_files: ["/var/log/apache/error.log"]
-
input_type: "stdin" # 除了 "log",还有 "stdin"
multiline: # 多行合并
pattern: '^[[:space:]]'
negate: false
match: after
output:
...字段
Filebeat 发送的日志,会包含以下字段:
beat.hostnamebeat 运行的主机名beat.nameshipper 配置段设置的name,如果没设置,等于beat.hostname@timestamp读取到该行内容的时间type通过document_type设定的内容input_type来自 "log" 还是 "stdin"
source具体的文件名全路径offset该行日志的起始偏移量message日志内容fields添加的其他固定字段都存在这个对象里面
最新文章
- Android中的数据保存
- winform客户端利用webClient实现与Web服务端的数据传输
- 28. Red Hat Linux安装Vmware Tools
- ios6 滤镜相关知识内容网址---摘要
- HTML Basic Document and UML
- jQuery -- is() 方法
- 不用安装Oracle_Client就能使用PLSQL_Developer
- [direct-X] direct-X最小框架
- asp Gridview绑定形式获取行号
- Unity场景道具模型拓展自定义编辑器
- C++ STL疑惑知识点
- 李洪强iOS开发之代理
- Linux下的iwpriv(iwlist、iwconfig)的简单应用
- Http协议Get方式获取图片
- jquery.session.js使用
- JavaWeb中使用JSON
- vue动态添加对象属性,视图不渲染
- 潜在风险的频次vs潜在风险的严重影响的程度(以及恢复)
- azkaban使用--传入动态参数
- HTML5 & how to download SVG in js