定制Ubuntu Filebeat的日志采集规则,主要通过编辑配置文件/etc/filebeat/filebeat.yml实现,以下是具体方法:
sudo apt-get update和sudo apt-get install filebeat进行安装。filebeat.inputs部分,通过paths参数指定要采集的日志文件路径,可使用通配符。如filebeat.inputs: - type: log enabled: true paths: - /var/log/*.log。fields参数添加自定义字段,fields_under_root设置为true可将字段提升到事件顶层。例如fields: app: myapp environment: production fields_under_root: true。include_lines和exclude_lines参数进行行级过滤,用正则表达式指定包含或排除的行。如include_lines: ['^ERROR', '^WARN']。multiline参数。pattern指定多行起始行的正则,negate和match控制合并方式。output部分,指定日志输出的目标,如Elasticsearch、Logstash等。以输出到Elasticsearch为例,配置为output.elasticsearch: hosts: ["localhost:9200"]。scan_frequency、close_inactive等参数,以平衡实时性与资源消耗。
