在CentOS系统下,使用Filebeat进行日志分割可以通过配置Filebeat的processors和fields来实现。以下是详细的步骤:
首先,确保你已经安装了Filebeat。如果还没有安装,可以使用以下命令进行安装:
sudo yum install filebeat
编辑Filebeat的配置文件,通常位于/etc/filebeat/filebeat.yml。
确保你的输入配置正确,例如:
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log
添加一个processors部分来处理日志分割。你可以使用dissect或grok处理器来解析日志,并使用add_fields处理器来添加新的字段,以便后续处理。
processors:
- dissect:
tokenizer: '%{timestamp} %{log_level} %{message}'
field: 'message'
target_prefix: ''
when:
contains:
- 'timestamp'
- 'log_level'
- 'message'
- add_fields:
fields:
log_file: 'my_app.log'
配置Filebeat将处理后的日志发送到Elasticsearch或其他输出目标。例如,发送到Elasticsearch:
output.elasticsearch:
hosts: ["localhost:9200"]
index: "filebeat-%{[agent.version]}-%{+yyyy.MM.dd}"
启动Filebeat并检查其状态:
sudo systemctl start filebeat
sudo systemctl enable filebeat
确保日志文件被正确分割并发送到Elasticsearch。你可以使用以下命令查看Elasticsearch中的索引:
curl -X GET "localhost:9200/_cat/indices?v"
你应该能看到类似filebeat-7.x.x-yyyy.MM.dd的索引,这表明日志已经被正确分割。
如果你希望系统级别的日志文件(如/var/log/messages)也能被Filebeat处理,你需要配置系统的日志轮转(logrotate)。编辑/etc/logrotate.d/messages文件,添加以下内容:
/var/log/messages {
daily
rotate 7
compress
delaycompress
missingok
notifempty
create 640 root adm
sharedscripts
postrotate
/usr/bin/systemctl restart filebeat.service
endscript
}
这会每天轮转日志文件,并在轮转后重启Filebeat服务,确保新的日志文件被Filebeat处理。
通过以上步骤,你可以在CentOS系统下使用Filebeat实现日志分割。