平时在物理机上使用 Filebeat 收集日志时,会编写多个 filebeat 配置文件然后启动多个 filebeat 进程来收集不同路径下的日志并设置相对应的索引。那么如果将所有的日志路径都写到一个 filebeat 配置文件中,那么就需要根据不同的日志来设置索引了。

其实 logstash 也可以实现这个功能。但是此处只演示在 Filebeat 上实现。步骤和讲解如下:

例如现在有如下三个日志文件,需要输出到不同的索引:

access.log     ---->  索引:web-nginx-access-log

error.log      ---->  索引:web-nginx-error-log

blacklist.log  ---->  索引:web-nginx-blacklist-log

所需要的 filebeat 配置文件如下:

filebeat.idle_timeout: 2s

filebeat.name: filebeat-shiper

filebeat.spool_zie: 50000

filebeat.inputs:                             # 从这里开始定义每个日志的路径、类型、收集方式等信息

- type: log                                  # 指定收集的类型为 log

  paths:

   - /usr/local/nginx/logs/access.log        # 设置 access.log 的路径

  fields:                                    # 设置一个 fields,用于标记这个日志

    type: access-log                         # 为 fields 设置一个关键字 type,值为 access-log

  enabled: true

  backoff: 1s

  backoff_factor: 2

  close_inactive: 1h

  encoding: plain

  harvester_buffer_size: 262144

  max_backoff: 10s

  max_bytes: 10485760

  scan_frequency: 10s

  tail_lines: true

- type: log

  paths:

   - /usr/local/nginx/logs/error.log         # 设置 error.log 的路径

  fields:                                    # 设置一个 fields,用于标记这个日志

    type: error-log                          # 为 fields 设置一个关键字 type,值为 error-log

  enabled: true

  backoff: 1s

  backoff_factor: 2

  close_inactive: 1h

  encoding: plain

  harvester_buffer_size: 262144

  max_backoff: 10s

  max_bytes: 10485760

  scan_frequency: 10s

  tail_lines: true

- type: log

  paths:

   - /usr/local/nginx/logs/blacklist.log     # 设置 blacklist.log 的路径

  fields:                                    # 设置一个 fields,用于标记这个日志

    type: blacklist-log                      # 为 fields 设置一个关键字 type,值为 blacklist-log

  enabled: true

  backoff: 1s

  backoff_factor: 2

  close_inactive: 1h

  encoding: plain

  harvester_buffer_size: 262144

  max_backoff: 10s

  max_bytes: 10485760

  scan_frequency: 10s

  tail_lines: true

output.elasticsearch:

  workers: 4

  bulk_max_size: 8192

  hosts:                                     # 设置 elastic 的地址

  - 10.16.12.206:30187

  - 10.16.12.207:30187

  - 10.16.12.208:30187

  - 10.16.13.214:30187

  - 10.16.13.215:30187

  index: web-nginx-%{[fields.type]}-%{+yyyy.MM.dd}     # 设置索引名称,后面引用的 fields.type 变量。此处的配置应该可以省略(不符合下面创建索引条件的日志,会使用该索引,后续会测试是否是这样)

  indices:                                             # 使用 indices 代表要创建多个索引

    - index: web-nginx-access-log-%{+yyyy.MM.dd}       # 设置 access.log 日志的索引,注意索引前面的 web-nginx 要与setup.template.pattern 的配置相匹配

      when.equals:                                     # 设置创建索引的条件:当 fields.type 的值等于 access-log 时才生效

        fields.type: access-log

    - index: web-nginx-error-log-%{+yyyy.MM.dd}

      when.equals:

        fields.type: error-log

    - index: web-nginx-blacklist-log-%{+yyyy.MM.dd}

      when.equals:

        fields.type: blacklist-log

processors:

- drop_fields:

    fields:

    - agent.ephemeral_id

    - agent.hostname

    - agent.id

    - agent.type

    - agent.version

    - ecs.version

    - input.type

    - log.offset

    - version

- decode_json_fields:

    fields:

    - message

    max_depth: 1

    overwrite_keys: true

setup.ilm.enabled: false                    # 如果要创建多个索引,需要将此项设置为 false

setup.template.name: web-nginx-log          # 设置模板的名称

setup.template.pattern: web-nginx-*         # 设置模板的匹配方式,上面索引的前缀要和这里保持一致

setup.template.overwrite: true

setup.template.enabled: true

编辑完成后,启动 filebeat 进程。到 Kibana 中查看索引列表,可以发现已经有三个新创建的索引:

名称                                   运行状况    状态     主分片    副本分片    文档计数    存储大小

web-nginx-access-log-2020.10.28        green     open      1         1         110      73.9kb

web-nginx-error-log-2020.10.28         green     open      1         1         354      155kb

web-nginx-blacklist-log-2020.10.28     green     open      1         1         460      219.5kb

针对这三个索引创建索引模式后,就可以在 Kibana 中对日志进行展示了。

Filebeat 根据不同的日志设置不同的索引的更多相关文章

  1. ElasticSearch+Logstash+Filebeat+Kibana集群日志管理分析平台搭建

    一.ELK搜索引擎原理介绍 在使用搜索引擎是你可能会觉得很简单方便,只需要在搜索栏输入想要的关键字就能显示出想要的结果.但在这简单的操作背后是搜索引擎复杂的逻辑和许多组件协同工作的结果. 搜索引擎的组 ...

  2. ELK之filebeat替代logstash收集日志

    filebeat->redis->logstash->elasticsearch 官网下载地址:https://www.elastic.co/downloads/beats/file ...

  3. ELK快速入门(四)filebeat替代logstash收集日志

    ELK快速入门四-filebeat替代logstash收集日志 filebeat简介 Filebeat是轻量级单用途的日志收集工具,用于在没有安装java的服务器上专门收集日志,可以将日志转发到log ...

  4. 使用Filebeat传送多行日志

    文章转载自:https://blog.csdn.net/UbuntuTouch/article/details/106272704 在解决应用程序问题时,多行日志为开发人员提供了宝贵的信息. 堆栈跟踪 ...

  5. tomcat7 日志设置为log4j

    tomcat的日志设置用log4j的官方文档:http://tomcat.apache.org/tomcat-7.0-doc/logging.html 1. 下载tomcat-juli.jar, to ...

  6. LR中日志设置和日志函数

    LR中日志参数的设置与使用 1.Run-Time Setting日志参数的设置 在loadrunner的vuser菜单下的Run-Time Setting的General的LOG选项中可以对在执行脚本 ...

  7. Jmeter 日志设置---如何设置java协议中被测jar的日志?

    先转载一下Jmeter的日志设置: Jmeter运行出现问题可以通过调整jmeter的日志级别定位问题,但运行测试时建议关闭jmeter日志,jmeter打印日志耗费系统性能. Jmeter日志默认存 ...

  8. 【kafka学习之五】kafka运维:kafka操作日志设置和主题删除

    一.操作日志 首先附上kafka 操作日志配置文件:log4j.properties 根据相应的需要设置日志. #日志级别覆盖规则 优先级:ALL < DEBUG < INFO <W ...

  9. 转 -Filebeat + Redis 管理 LOG日志实践

    Filebeat + Redis 管理 LOG日志实践 小赵营 关注 2019.01.06 17:52* 字数 1648 阅读 24评论 0喜欢 2 引用 转载 请注明出处 某早上,领导怒吼声远远传来 ...

随机推荐

  1. 215。数组中第K个最大元素(堆实现)

    class Solution: def findKthLargest(self, nums: List[int], k: int) -> int: """堆排序思想 ...

  2. 在 Kubernetes 上部署 OpenStack 是什么体验

    红蓝出 CP,OpenStack 和 Kubernetes 在一起会怎样? 背景 从去年开始就想深入地学习 Kubernetes,首先想到是在 OpenStack 上能比较轻松地玩转,所以去 尝试了 ...

  3. JELLY技术周刊 Vol.24 -- 技术周刊 &#183; 实现 Recoil 只需百行代码?

    蒲公英 · JELLY技术周刊 Vol.24 理解一个轮子最好的方法就是仿造一个轮子,很多框架都因此应运而生,比如面向 JS 开发者的 AI 工具 Danfo.js:参考 qiankun 的微前端框架 ...

  4. 搭建 Spring 源码阅读环境

    前言 有一个Spring源码阅读环境是学习Spring的基础.笔者借鉴了网上很多搭建环境的方法,也尝试了很多,接下来总结两种个人认为比较简便实用的方法.读者可根据自己的需要自行选择. 方法一:搭建基础 ...

  5. 基于Excel参数化你的Selenium2测试-xlrd

    本篇文章转载至苦叶子:   前言 今天我们就如何使用xlrd模块来进行python selenium2 + excel自动化测试过程中的参数化进行演示说明,以解决大家在自动化测试实践过程中参数化的疑问 ...

  6. “酒香也怕巷子深” Smartflow-Sharp 工作流

    导语 老话说得好,"酒香不怕巷子深"可是我又不是什么大咖,写得再好也没人知道.所以我今天准备再写写我的工作流组件,写得不好还请大家见谅.写文章对于我来说,有点感觉"茶壶里 ...

  7. matlab中colormap

    来源:https://ww2.mathworks.cn/help/matlab/ref/colormap.html?searchHighlight=colormap&s_tid=doc_src ...

  8. P3660 [USACO17FEB]Why Did the Cow Cross the Road III G

    Link 题意: 给定长度为 \(2N\) 的序列,\(1~N\) 各处现过 \(2\) 次,i第一次出现位置记为\(ai\),第二次记为\(bi\),求满足\(ai<aj<bi<b ...

  9. Ubuntu通过Nginx安装Webdav

    使用KeePass保存密码,在个人服务器上安装WebDav协议. # nginx nginx-extras apache2-utils sudo aptitude install nginx ngin ...

  10. 解Bug之路-记一次线上请求偶尔变慢的排查

    解Bug之路-记一次线上请求偶尔变慢的排查 前言 最近解决了个比较棘手的问题,由于排查过程挺有意思,于是就以此为素材写出了本篇文章. Bug现场 这是一个偶发的性能问题.在每天几百万比交易请求中,平均 ...