filebeat生产环境配置

原创 已于 2024-09-20 17:08:44 修改 · 1.3k 阅读 · 26 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#filebeat #filebeat详解 #ELK

于 2024-07-17 17:02:14 首次发布

配置文件属性

生产配置

filebeat.inputs: 
- type: log
  enabled: true
  paths: 
  - /tmp/logs/*.log
  - /var/log/system.log
  - /var/log/wifi.log
  symlinks: true
  json.keys_under_root: true
  json.message_key: xxx
  json.add_error_key: true
  # 如果想卡部分日志,比如用时间作为过滤条件,加上下面两个选项,一个是时间筛选,一个是句柄是否关闭
  ignore_older: 168h
  close_inactive: 24h
  
  multiline.pattern: '^\s+|^"'
  multiline.match: after
  fields:
    type: fb-urmp-xx-test
  fields_under_root: true
output.console:
  pretty: true

2024.09.20补充

在后续实践的过程中,发现这个配置其实是有点多余的,目前生产上的filebeat配置如下:

filebeat.inputs:
- type: log
  paths:
  - /home/logs/biz/*.log
  encoding: utf-8
  fields:
    fb_collect_type: bizlog 
    send_kafka: "false"
  fields_under_root: true
- type: log
  paths:
  - /home/logs/sys/*.log
  encoding: utf-8
  fields:
    fb_collect_type: syslog 
  fields_under_root: true
output.logstash:
  hosts:
  - "xxxx"
processors:
  - drop_fields:
      fields: ["ecs", "agent", "log"]

去除了json相关处理和多行处理,为什么呢?

因为filebeat不是专业处理这些问题的,而且它的灵活性有点差,需要适配各种各样的场景(真的好多场景),与其这样,还不如在日志输出源哪里做好json格式化,具体做法可以参考logback日志格式高级玩法

同时增加了processors处理,这些在一定程度上可以提高采集性能,因为在高并发环境下,日志内容越少,性能就越好

还增加了encoding: utf-8,统一格式,至于原因,不添加这个,会在logstash采集上导致很多 /u0000问题,在logstash问题汇总这片文章有讲

参数释义

paths

待收集日志的路径列表

symlinks

使用 symlinks 属性的主要场景包括:

  1. 日志轮转:有些日志轮转工具会创建符号链接指向最新的日志文件。启用 symlinks 后,Filebeat 可以确保收集到最新的日志内容。
  2. 一致性路径:在一些系统中,符号链接可能用于统一路径,而实际文件位置可能会变化。通过设置 symlinks,Filebeat 可以稳定地读取这些符号链接指向的日志文件。

假设你有一个应用程序,它生成的日志文件在 /var/log/myapp/ 目录下,并且有一个日志轮转机制。轮转机制会将旧日志重命名并创建一个符号链接指向最新的日志文件,如下所示:

/var/log/myapp/
├── myapp.log -> myapp.log.20240628
├── myapp.log.20240626
├── myapp.log.20240627
└── myapp.log.20240628

在上面的结构中,myapp.log 是一个符号链接,指向 myapp.log.20240628,这是最新的日志文件。

不使用 symlinks

如果你在 Filebeat 配置中没有启用 symlinks

这种情况下,Filebeat 只会读取实际的日志文件,即 myapp.log.20240626myapp.log.202406

最低0.47元/天 解锁文章

200万优质内容无限畅学
2、filebeat安装配置
xuebo1129927648的博客
06-01 101
如果你需要收集其他类型的日志,可以按照下面的格式添加输入配置
1、filebeat详解
xuebo1129927648的博客
05-22 136
Filebeat 通过监听文件系统变化并高效收集日志数据,实现轻量级日志监控。1. 核心组件与工作流程Harvesters(收割者):负责读取单个文件的内容。Spooler(暂存器):负责缓存事件并批量发送给输出目标。工作流程监控文件系统:通过配置的路径(如)发现日志文件。启动 Harvester:为每个匹配的文件创建 Harvester,逐行读取内容。生成事件:将每行日志转换为结构化事件(包含时间戳、文件名等元数据)。发送到输出。
filebeat配置文件
06-21
elk filebeat 配置文件,下载放到目录下面可以放心使用。
filebeat的部署和配置
Ben_10_的博客
07-01 1542
一、初始部署及简单使用1.安装filebeat包2.测试运行(配置systemctl文件,让其可以唤起filebeat程序)3.配置输入输出:(filebeat配置文件)4.执行。
日志收集工具-Filebeat
最新发布
世界万般阻碍,我们见字如面!
06-07 956
filebea
filebeat 配置文件详解
无锋剑
10-21 2875
Filebeat Configuration Example ############### Filebeat #############filebeat:  # List of prospectors to fetch data.  prospectors:    -      # paths指定要监控的日志      paths:        - /var/log/*.log      #指...
filebeat配置
a807719447的专栏
10-10 593
在这里你可以下载到es各种项目得历史版本 https://www.elastic.co/cn/downloads/past-releases 什么是beats? 在elastic体系中beat是各种各样收集器得代名词,beat与你得项目部署在同一个服务器下,他可以直接将数据发送给Elasticsearch 或者logstash 做再过滤处理后输出到你想输出得地方,比如elasticsearch或者...
filebeat配置文件
08-30
这个文件主要配置是指定需要发送给远程logstash的本地日志文件地址,以及远程logstash的IP地址和端口
Filebeat 6.3.1单机配置与运行教程
但是在生产环境中,为了提高可靠性和可扩展性,通常需要配置Filebeat作为集群模式运行,这涉及到多个Filebeat实例协同工作,有时还会借助于Kibana进行管理和监控。 ### Filebeat与其他Elastic Stack组件的关联 ...
ELK Stack在多项目情况下filebeat与logstash的多文件配置
Efforts to advance
02-27 991
ELK Stack环境的相关搭建可以参考我的上一篇文章 这里配置中涉及到的域名在对应机器上要配置host,kafka的host 假设这里有两个项目:insurance项目,app项目 insurance项目生产环境filebeat配置filebeat.yml filebeat.inputs: - type: log enabled: true paths: - /home/...
Filebeat 安装与配置
深圳市多克创新科技有限公司
03-24 1413
Filebeat 安装与配置
FileBeat安装配置
程序猿·李的博客
11-11 2784
Filebeat 是属于 Beats 家族的日志传送器——一组安装在主机上的轻量级传送器,用于将不同类型的数据传送到 ELK 堆栈中进行分析。每个节拍都专用于传送不同类型的信息——例如,Winlogbeat 传送 Windows 事件日志,Metricbeat 传送主机指标等等。Filebeat,顾名思义,提供日志文件。
Filebeat配置文件
AyubLIbra的博客
06-27 439
###################### Filebeat Configuration Example ######################### # This file is an example configuration file highlighting only the most common # options. The filebeat.reference.yml file from the same directory contains all the # supported
filebeat配置
m0_57781407的博客
07-01 293
配置
Filebeat配置ELK
qq_1801743621的博客
12-12 1269
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、Filebeat简介1.Filebeat是什么2.工作流程二、使用步骤1.logback配置2.Filebeat配置总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了
filebeat-input-stream配置
wxd5617的博客
12-18 3962
不是基于文件的修改时间。如果关闭的文件再次发生变化,则启动一个新的收割机,并在勘探者.scanner之后收集最新的变化。已经过Check_interval。我们建议你设置close.on_state_change.Inactive设置为大于日志文件中最不频繁更新的值。例如,如果你的日志文件每隔几秒钟更新一次,你可以安全地设置close.on_state_change。静止到1m。如果有更新速度非常不同的日志文件,您可以使用具有不同值的多个配置。设置close.on_state_change。
(二)ELK Filebeat简介
weixin_30482383的博客
03-07 362
Filebeat简介 轻量级的日志传输工具,是一个日志文件托运工具,在你的服务器上安装客户端后,filebeat会监控日志目录或者指定的日志文件,追踪读取这些文件(追踪文件的变化,不停的读),并且转发这些信息到elasticsearch或者logstarsh中存放。 filebeat 安装 #deb: curl -L -O https://artifacts.elast...
Filebeat的一些重要配置
热门推荐
点火三周的专栏
02-17 1万+
文章目录X-Pack商业付费功能介绍成本类功能可搜索快照效率集中化 Beats 管理集中化 Logstash 管道管理产品安全审计日志IP 筛选LDAP、PKIElasticsearch 令牌服务单点登录(SAML、OpenID Connect 和 Kerberos)基于属性的访问控制字段和文档级别安全性自定义身份验证和授权 Realm数据静态加密支持FIPS 140-2 模式集群监控与告警多堆栈监测可配置保留政策自动堆栈问题告警WatcherKibana 操作:电子邮件、PagerDuty、Service
filebeat配置详解
weixin_42689717的博客
09-26 189
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值