查看帮助
./filebeat --help
测试配置文件,测试output
filebeat test config # 测试配置文件
filebeat test output # 测试output
Input
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log
- /var/log/*/*.log
- type: log
paths:
- "/var/log/apache2/*"
exclude_files: ['\.gz$']
fields:
apache: true
# 会覆盖相同字段
fields_under_root: true
exclude_lines: ['^DBG']
include_lines: ['^ERR', '^WARN']
multiline.pattern: '^\['
multiline.negate: true
multiline.match: after
# ignore_older 必须设置比close_inactive大
ignore_older: 2h
/var/log//.log /var/log/的子文件夹中获取所有.log文件。 它不会从/var/log文件夹本身获取日志文件 相当于: /var/log/d1/.log /var/log/d2/.log … include_lines和exclude_lines同时定义时,先执行include(和配置先后顺序无关)
设置模块
方法一:
filebeat modules list
filebeat modules enable apache mysql
方法二:
filebeat.modules:
- module: system
syslog:
enabled: true
var.paths: ["path1"]
设置模板
filebeat setup --index-management -E output.logstash.enabled=false -E 'output.elasticsearch.hosts=["localhost:9200"]'
设置dashboards
方法一: 编辑filebeat.yml
setup.dashboards.enabled: true
方法二:
filebeat setup --dashboards
