要在 CentOS 上自定义 FileBeat 的日志格式,请按照以下步骤操作:
FileBeat 的配置文件通常位于 /etc/filebeat/filebeat.yml。使用文本编辑器打开它,例如使用 vim:
sudo vim /etc/filebeat/filebeat.yml
在 filebeat.yml 文件中,找到或添加 processors 部分。在这里,你可以定义一个新的处理器来修改日志格式。例如,你可以使用 dissect 处理器来解析和重新格式化日志。
下面是一个示例配置,它使用 dissect 处理器将日志解析为自定义格式:
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log
processors:
- dissect:
tokenizer: '%{timestamp} %{log_level} %{message}'
field: 'message'
target_prefix: 'parsed_message'
output.elasticsearch:
hosts: ["localhost:9200"]
在这个示例中,tokenizer 是一个正则表达式,用于定义日志中的字段。field 是要解析的字段,target_prefix 是解析后的字段添加到的前缀。
保存对 filebeat.yml 文件所做的更改,然后退出文本编辑器。
要使更改生效,请重启 FileBeat 服务:
sudo systemctl restart filebeat
现在,FileBeat 应该会使用自定义的日志格式来处理日志。你可以在 Elasticsearch 中查看解析后的日志,以确保一切正常。