注意:
路径的最后 一个不能 用完全 用 * 代替所有,必须有
一个相对的匹配或者绝对的匹配。
同样的,上 面的 方式,只会匹配到 /var/log 目录下的每个 子 目录下所有以.log 结尾的所有 日志 文件,但是不不会匹配到/var/log 目录下的任何 日志 文件。
服务器时间update,更新两台服务器时间保持一致
yum install -y ntp
ntp.tuna.tsinghua.edu.cn
INPUT
input有两种抓取日志,一种是使用内置模块,一种是指定日志文件
filebeat.config.modules:
# Glob pattern for configuration loading
path: /usr/share/filebeat/modules.d/*.yml
# Set to true to enable config reloading
reload.enabled: true # 实时更新
将
filebeat.yml同级的modules.d下的文件的后缀名去掉,变为*.yml
filebeat.yaml
指定日志文件
## 抓取日志文件操作
filebeat.inputs:
- type: log
enabled: true
paths:
- /var/log/*.log # 抓取文件路径
## 多文件添加可以在paths:后面增加
paths:
- /var/log/*.log
- /var/log/nginx/access.log
OUTPUT
输出到ES
output.elasticsearch:
hosts: ["elk-1:9200"] ## 输出到es
# 多台es,更改为host: ["IP-1:9200","IP-2:9200"]
输出到logstash
output.logstash:
hosts: ["logstash:5044"]
输出到kafaka
output.kafka:
hosts: ["elk-1:9092"]
topic: "filebeat"
codec.json:
pretty: false
安全验证
filebeat 服务日志格式配置
vim 修改 /etc/filebeat/filebeat.yml
# 在 #logging.level: debug 后面添加
logging.level: info # 日志级别
logging.to_files: true
logging.files:
path: /var/log/filebeat
name: filebeat
keepfiles: 7
permissions: 0644
测试配置文件
filebeat test config -c filebeat.yml
网友评论