在 CentOS 中配置 Filebeat 以设置日志过滤规则,你需要编辑 Filebeat 的配置文件 filebeat.yml。以下是一个示例配置,展示了如何设置日志过滤规则:
打开配置文件:
首先,找到并打开 Filebeat 的配置文件。通常,该文件位于 /etc/filebeat/filebeat.yml 或 /etc/filebeat/conf.d/filebeat.yml。
sudo vi /etc/filebeat/filebeat.yml
配置日志过滤规则:
在 filebeat.yml 文件中,你可以使用 include_lines 或 exclude_lines 选项来设置日志过滤规则。以下是一个示例,展示了如何仅包含特定日志文件中的行:
filebeat.inputs:
- type: log
paths:
- /var/log/myapp/*.log
processors:
- include_lines:
- pattern: "ERROR"
在这个示例中,Filebeat 将只处理 /var/log/myapp/*.log 文件中的 ERROR 级别的日志行。
配置输出: 确保你配置了正确的输出目的地,例如 Elasticsearch 或 Logstash。以下是一个示例,展示了如何将日志发送到 Elasticsearch:
output.elasticsearch:
hosts: ["http://elasticsearch:9200"]
index: "myapp-logs-%{+YYYY.MM.dd}"
保存并退出: 保存你的配置文件并退出编辑器。
重启 Filebeat: 重启 Filebeat 以应用新的配置:
sudo systemctl restart filebeat
通过以上步骤,你可以在 CentOS 中设置 Filebeat 的日志过滤规则。你可以根据需要调整 include_lines 或 exclude_lines 选项中的正则表达式,以匹配特定的日志行。