如何定制CentOS Filebeat的日志采集规则

定制CentOS Filebeat的日志采集规则，主要通过编辑其配置文件/etc/filebeat/filebeat.yml实现，以下是具体方法：

1. 安装Filebeat：使用命令sudo yum install filebeat进行安装。
2. 编辑配置文件：
   • 指定日志路径：在filebeat.inputs部分，通过paths字段指定要采集的日志文件路径，可使用通配符，如paths: - /var/log/*.log。
   • 添加自定义字段：在fields字段中添加自定义字段，如fields: {application: "myapp", environment: "production"}，若要将这些字段放在顶级字段，可设置fields_under_root: true。
   • 过滤日志：使用include_lines和exclude_lines字段来包含或排除特定日志行，如include_lines: ['^ERR', '^WARN']，exclude_lines: ['^dbg']。
   • 处理多行日志：通过multiline字段配置，如multiline.pattern: '^\['，multiline.negate: true，multiline.match: 'after'等。
3. 配置输出：在output部分，指定日志输出目标，如输出到Elasticsearch可配置output.elasticsearch，设置主机地址和端口等；输出到Logstash可配置output.logstash。
4. 保存并重启：保存配置文件后，使用sudo systemctl restart filebeat重启服务使配置生效。
5. 验证配置：可通过查看Filebeat日志sudo journalctl -u filebeat -f，或查看输出目标（如Elasticsearch）来确认配置是否正确。