Ubuntu Filebeat如何自定义输出

要在Ubuntu上自定义Filebeat的输出，您需要编辑Filebeat的配置文件。以下是自定义输出的步骤：

1. 打开Filebeat配置文件。默认情况下，该文件位于/etc/filebeat/filebeat.yml。使用文本编辑器打开它，例如nano或vim：

sudo nano /etc/filebeat/filebeat.yml

2. 在配置文件中找到output部分。如果您还没有定义输出模块，请添加一个。例如，如果您想将日志发送到Elasticsearch，您可以使用以下配置：

output.elasticsearch:
  hosts: ["your_elasticsearch_host:9200"]
  index: "filebeat-%{[agent.version]}-%{+yyyy.MM.dd}"

将your_elasticsearch_host替换为您的Elasticsearch实例的主机名或IP地址。

3. 如果您想自定义输出到其他系统，例如Logstash或Kafka，您可以参考Filebeat官方文档中的相关部分。以下是一个将日志发送到Logstash的示例配置：

output.logstash:
  hosts: ["your_logstash_host:5044"]

将your_logstash_host替换为您的Logstash实例的主机名或IP地址。

4. 根据需要自定义其他输出选项。例如，您可以设置批量大小、压缩等。以下是一个自定义批量大小和压缩的示例：

output.elasticsearch:
  hosts: ["your_elasticsearch_host:9200"]
  index: "filebeat-%{[agent.version]}-%{+yyyy.MM.dd}"
  bulk_max_size: 500MB
  compression: gzip

5. 保存并关闭配置文件。

6. 重新启动Filebeat以应用更改：

sudo systemctl restart filebeat

现在，Filebeat将使用您自定义的输出配置发送日志。请注意，根据您选择的输出模块，您可能需要安装和配置相应的插件。