ubuntu filebeat如何自定义字段

在Ubuntu上使用Filebeat时，可以通过修改Filebeat的配置文件来自定义字段。以下是具体步骤：

方法一：通过filebeat.yml配置文件

1. 打开配置文件： 打开Filebeat的配置文件/etc/filebeat/filebeat.yml。

2. 添加或修改字段： 在fields部分添加或修改你想要的自定义字段。例如：

   filebeat.inputs:
   - type: log
     enabled: true
     paths:
       - /var/log/*.log
   
   fields:
     custom_field_1: "value1"
     custom_field_2: "value2"
   
   output.elasticsearch:
     hosts: ["localhost:9200"]
   

3. 保存并退出： 保存对filebeat.yml文件的更改并退出编辑器。

4. 重启Filebeat服务： 使更改生效，需要重启Filebeat服务：

   sudo systemctl restart filebeat
   

方法二：通过模板或脚本动态添加字段

如果你需要在运行时动态添加字段，可以使用Elasticsearch的Ingest Node或Logstash来处理日志数据并添加自定义字段。

使用Elasticsearch Ingest Node

1. 配置Ingest Node： 在Elasticsearch的Ingest Node上创建一个Ingest Pipeline，用于添加自定义字段。例如：

   PUT _ingest/pipeline/custom_fields_pipeline
   {
     "description": "Add custom fields to documents",
     "processors": [
       {
         "add_fields": {
           "fields": {
             "custom_field_1": "value1",
             "custom_field_2": "value2"
           }
         }
       }
     ]
   }
   

2. 配置Filebeat输出： 在filebeat.yml中配置Filebeat使用这个Ingest Pipeline：

   filebeat.inputs:
   - type: log
     enabled: true
     paths:
       - /var/log/*.log
   
   output.elasticsearch:
     hosts: ["localhost:9200"]
     pipeline: "custom_fields_pipeline"
   

3. 重启Filebeat服务： 使更改生效，需要重启Filebeat服务：

   sudo systemctl restart filebeat
   

使用Logstash

1. 安装并配置Logstash： 安装Logstash并创建一个配置文件/etc/logstash/conf.d/custom_fields.conf，用于添加自定义字段：

   input {
     beats {
       port => 5044
     }
   }
   
   filter {
     mutate {
       add_field => { "custom_field_1" => "value1" }
       add_field => { "custom_field_2" => "value2" }
     }
   }
   
   output {
     elasticsearch {
       hosts => ["localhost:9200"]
       index => "filebeat-%{+YYYY.MM.dd}"
     }
   }
   

2. 启动Logstash： 启动Logstash服务：

   sudo systemctl start logstash
   

3. 配置Filebeat输出： 在filebeat.yml中配置Filebeat使用Logstash作为输出：

   filebeat.inputs:
   - type: log
     enabled: true
     paths:
       - /var/log/*.log
   
   output.logstash:
     hosts: ["localhost:5044"]
   

4. 重启Filebeat服务： 使更改生效，需要重启Filebeat服务：

   sudo systemctl restart filebeat
   

通过以上方法，你可以在Ubuntu上使用Filebeat自定义字段，并将其发送到Elasticsearch中。