以下是Filebeat在Debian上解析日志的实用技巧:
监控特定日志文件
在/etc/filebeat/filebeat.yml中通过paths指定路径,如监控Nginx日志:
filebeat.inputs:
- type: log
paths: ["/var/log/nginx/access.log", "/var/log/nginx/error.log"]
解析JSON格式日志
启用json模块,设置message_key和keys_under_root:
filebeat.inputs:
- type: log
json.message_key: "log" # 指定JSON中消息字段
json.keys_under_root: true # 将JSON字段提升到根级别
处理多行日志
用multiline模块匹配日志行起始模式(如日期),match: after合并多行:
multiline:
pattern: '^\d{4}-\d{2}-\d{2}' # 匹配日期开头的行
negate: true
match: after
条件判断处理不同格式
通过if处理器区分日志格式,例如解析含特定字段的日志:
processors:
- if: contains(message, "json_field")
then:
- json:
message_key: "json_field"
输出到Elasticsearch或文件
配置输出目标,如输出到Elasticsearch:
output.elasticsearch:
hosts: ["localhost:9200"]
或输出到文件:
output.file:
path: "/tmp/filebeat.log"
启用自动发现与监控
使用autodiscover动态监控日志文件变化:
filebeat.autodiscover:
providers:
- type: file
paths: ["/var/log/*.log"]
性能优化
batch_size和worker数量提升吞吐量。close_inactive参数关闭长时间未更新的文件句柄。集成ELK Stack可视化
将日志发送至Elasticsearch后,通过Kibana构建仪表盘,实现日志搜索、分析和可视化。
以上配置可根据实际日志格式和需求调整,参考官方文档获取最新参数说明。