Filebeat 是一个轻量级的日志收集器,用于将日志数据从多个源发送到如 Elasticsearch 或 Logstash 等后端存储。要配置 Filebeat 的日志输出格式,你需要编辑 Filebeat 的配置文件 filebeat.yml。
以下是一个基本的 filebeat.yml 配置示例,展示了如何设置日志输出格式:
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log
# 设置日志输出的格式
processors:
- add_fields:
targets: ["log"]
fields:
format: "json" # 可以是 "json", "csv", "plaintext" 或 "dissect"
# 如果你选择 "dissect" 格式,你需要定义一个 dissect 模板来解析你的日志
processors:
- dissect:
tokenizer: '%{timestamp} %{log_level} %{message}'
field: "message"
target_prefix: ""
overwrite_keys: true
# 输出到控制台(或其他输出)
output.elasticsearch:
hosts: ["localhost:9200"]
在这个例子中,我们定义了一个处理器来添加一个名为 format 的字段,该字段指定了日志的格式。可选的值包括:
json: 日志已经是 JSON 格式。csv: 日志是以逗号分隔的值格式。plaintext: 日志是纯文本格式。dissect: 使用 dissect 模板来解析自定义格式的日志。如果你选择了 dissect 或其他需要解析日志格式的处理器,你需要提供一个模板来告诉 Filebeat 如何解析每条日志。在上面的例子中,dissect 处理器使用了一个简单的模板来解析时间戳、日志级别和消息。
请注意,这只是一个基本的配置示例。根据你的具体需求,你可能需要调整输入路径、处理器和输出设置。在修改配置文件后,记得重启 Filebeat 服务以使更改生效。
sudo systemctl restart filebeat
或者,如果你不是使用 systemd,可以使用相应的命令来重启 Filebeat。