平时在物理机上使用 Filebeat 收集日志时,会编写多个 filebeat 配置文件然后启动多个 filebeat 进程来收集不同路径下的日志并设置相对应的索引。那么如果将所有的日志路径都写到一个 filebeat 配置文件中,那么就需要根据不同的日志来设置索引了。

其实 logstash 也可以实现这个功能。但是此处只演示在 Filebeat 上实现。步骤和讲解如下:

例如现在有如下三个日志文件,需要输出到不同的索引:

access.log     ---->  索引:web-nginx-access-log

error.log      ---->  索引:web-nginx-error-log

blacklist.log  ---->  索引:web-nginx-blacklist-log

所需要的 filebeat 配置文件如下:

filebeat.idle_timeout: 2s

filebeat.name: filebeat-shiper

filebeat.spool_zie: 50000

filebeat.inputs:                             # 从这里开始定义每个日志的路径、类型、收集方式等信息

- type: log                                  # 指定收集的类型为 log

  paths:

   - /usr/local/nginx/logs/access.log        # 设置 access.log 的路径

  fields:                                    # 设置一个 fields,用于标记这个日志

    type: access-log                         # 为 fields 设置一个关键字 type,值为 access-log

  enabled: true

  backoff: 1s

  backoff_factor: 2

  close_inactive: 1h

  encoding: plain

  harvester_buffer_size: 262144

  max_backoff: 10s

  max_bytes: 10485760

  scan_frequency: 10s

  tail_lines: true

- type: log

  paths:

   - /usr/local/nginx/logs/error.log         # 设置 error.log 的路径

  fields:                                    # 设置一个 fields,用于标记这个日志

    type: error-log                          # 为 fields 设置一个关键字 type,值为 error-log

  enabled: true

  backoff: 1s

  backoff_factor: 2

  close_inactive: 1h

  encoding: plain

  harvester_buffer_size: 262144

  max_backoff: 10s

  max_bytes: 10485760

  scan_frequency: 10s

  tail_lines: true

- type: log

  paths:

   - /usr/local/nginx/logs/blacklist.log     # 设置 blacklist.log 的路径

  fields:                                    # 设置一个 fields,用于标记这个日志

    type: blacklist-log                      # 为 fields 设置一个关键字 type,值为 blacklist-log

  enabled: true

  backoff: 1s

  backoff_factor: 2

  close_inactive: 1h

  encoding: plain

  harvester_buffer_size: 262144

  max_backoff: 10s

  max_bytes: 10485760

  scan_frequency: 10s

  tail_lines: true

output.elasticsearch:

  workers: 4

  bulk_max_size: 8192

  hosts:                                     # 设置 elastic 的地址

  - 10.16.12.206:30187

  - 10.16.12.207:30187

  - 10.16.12.208:30187

  - 10.16.13.214:30187

  - 10.16.13.215:30187

  index: web-nginx-%{[fields.type]}-%{+yyyy.MM.dd}     # 设置索引名称,后面引用的 fields.type 变量。此处的配置应该可以省略(不符合下面创建索引条件的日志,会使用该索引,后续会测试是否是这样)

  indices:                                             # 使用 indices 代表要创建多个索引

    - index: web-nginx-access-log-%{+yyyy.MM.dd}       # 设置 access.log 日志的索引,注意索引前面的 web-nginx 要与setup.template.pattern 的配置相匹配

      when.equals:                                     # 设置创建索引的条件:当 fields.type 的值等于 access-log 时才生效

        fields.type: access-log

    - index: web-nginx-error-log-%{+yyyy.MM.dd}

      when.equals:

        fields.type: error-log

    - index: web-nginx-blacklist-log-%{+yyyy.MM.dd}

      when.equals:

        fields.type: blacklist-log

processors:

- drop_fields:

    fields:

    - agent.ephemeral_id

    - agent.hostname

    - agent.id

    - agent.type

    - agent.version

    - ecs.version

    - input.type

    - log.offset

    - version

- decode_json_fields:

    fields:

    - message

    max_depth: 1

    overwrite_keys: true

setup.ilm.enabled: false                    # 如果要创建多个索引,需要将此项设置为 false

setup.template.name: web-nginx-log          # 设置模板的名称

setup.template.pattern: web-nginx-*         # 设置模板的匹配方式,上面索引的前缀要和这里保持一致

setup.template.overwrite: true

setup.template.enabled: true

编辑完成后,启动 filebeat 进程。到 Kibana 中查看索引列表,可以发现已经有三个新创建的索引:

名称                                   运行状况    状态     主分片    副本分片    文档计数    存储大小

web-nginx-access-log-2020.10.28        green     open      1         1         110      73.9kb

web-nginx-error-log-2020.10.28         green     open      1         1         354      155kb

web-nginx-blacklist-log-2020.10.28     green     open      1         1         460      219.5kb

针对这三个索引创建索引模式后,就可以在 Kibana 中对日志进行展示了。

Filebeat 根据不同的日志设置不同的索引的更多相关文章

  1. ElasticSearch+Logstash+Filebeat+Kibana集群日志管理分析平台搭建

    一.ELK搜索引擎原理介绍 在使用搜索引擎是你可能会觉得很简单方便,只需要在搜索栏输入想要的关键字就能显示出想要的结果.但在这简单的操作背后是搜索引擎复杂的逻辑和许多组件协同工作的结果. 搜索引擎的组 ...

  2. ELK之filebeat替代logstash收集日志

    filebeat->redis->logstash->elasticsearch 官网下载地址:https://www.elastic.co/downloads/beats/file ...

  3. ELK快速入门(四)filebeat替代logstash收集日志

    ELK快速入门四-filebeat替代logstash收集日志 filebeat简介 Filebeat是轻量级单用途的日志收集工具,用于在没有安装java的服务器上专门收集日志,可以将日志转发到log ...

  4. 使用Filebeat传送多行日志

    文章转载自:https://blog.csdn.net/UbuntuTouch/article/details/106272704 在解决应用程序问题时,多行日志为开发人员提供了宝贵的信息. 堆栈跟踪 ...

  5. tomcat7 日志设置为log4j

    tomcat的日志设置用log4j的官方文档:http://tomcat.apache.org/tomcat-7.0-doc/logging.html 1. 下载tomcat-juli.jar, to ...

  6. LR中日志设置和日志函数

    LR中日志参数的设置与使用 1.Run-Time Setting日志参数的设置 在loadrunner的vuser菜单下的Run-Time Setting的General的LOG选项中可以对在执行脚本 ...

  7. Jmeter 日志设置---如何设置java协议中被测jar的日志?

    先转载一下Jmeter的日志设置: Jmeter运行出现问题可以通过调整jmeter的日志级别定位问题,但运行测试时建议关闭jmeter日志,jmeter打印日志耗费系统性能. Jmeter日志默认存 ...

  8. 【kafka学习之五】kafka运维:kafka操作日志设置和主题删除

    一.操作日志 首先附上kafka 操作日志配置文件:log4j.properties 根据相应的需要设置日志. #日志级别覆盖规则 优先级:ALL < DEBUG < INFO <W ...

  9. 转 -Filebeat + Redis 管理 LOG日志实践

    Filebeat + Redis 管理 LOG日志实践 小赵营 关注 2019.01.06 17:52* 字数 1648 阅读 24评论 0喜欢 2 引用 转载 请注明出处 某早上,领导怒吼声远远传来 ...

随机推荐

  1. Python-如何拆分含有多种分隔符的字符串?

    案例: 把某个字符串依据分隔符拆分,该字符包含不同的多种分隔符,如下 s = '12;;7.osjd;.jshdjdknx+' 其中 ; . + 是分隔符 有哪些解决方案? 方法1:通过str.spl ...

  2. Python-统计序列中元素

    问题1: 随机数列[12,5,8,7,8,9,4,8,5,...] 中出现次数最高的3个元素,他们出现的次数 问题2: 对某英文文章的单词,进行词频统计,找出出现次数最搞得10个单词,他们出现的次数是 ...

  3. Go map相关

    map Go语言中的map是一种无序的,基于key-value的数据解构,在Go语言中map是引用类型,因此必须初始化后才能使用. 以下示例将展示如何声明一个map类型,以及如何简单使用. 需要注意的 ...

  4. Book of Shaders 01 - 关于函数造型能力的理解

    0x00 从函数出发 Shader 中的很多效果都是由函数计算得出的,如何更好地理解二者的关系呢.不妨先看看函数是什么?函数的定义可以简单地描述为:给定一个集合 A,对于其中的元素施加法则 f,则可以 ...

  5. 图像分辨率 像素 大小 LCD显示 为OLED屏增加GUI支持

    1. 根据一张标准图片的分辨率,结合每个像素的大小,可以计算得到这张图片的大小(字节数) 补充点:bmp格式的图片有24色或者32色.(其一个像素点可能占用24bits或者32bits)  至于图片怎 ...

  6. SQL实战——01. 查找最晚入职员工的所有信息

    查找最晚入职员工的所有信息CREATE TABLE `employees` (`emp_no` int(11) NOT NULL,`birth_date` date NOT NULL,`first_n ...

  7. Dell XPS 7590 Hackintosh

    网上主流引导Hackintosh的工具有Chameleon, Clover和OpenCore. 但是随着Hackintosh重要驱动开发团队acidanthera逐渐转向OpenCore,后者显然才是 ...

  8. matlab中num2str 将数字转换为字符数组

    参考:https://ww2.mathworks.cn/help/matlab/ref/num2str.html?searchHighlight=num2str&s_tid=doc_srcht ...

  9. Redash 二开 - 后端环境搭建

    Redash 二开 - 后端环境搭建 一.操作系统选择 官方文档有一句话:Windows users: while it should be possible to run Redash on a W ...

  10. 轻轻松松学CSS:Flex布局

     Flex布局就是"弹性布局",它可以简便.完整.响应式地实现各种页面布局.引入弹性布局的目的,当页面需要适应不同的屏幕大小确保元素拥有恰当的布局方式,对一个容器中的子元素进行排列 ...