1肺魁、啟動(dòng) Filebeat
- 修改
F:\ELK\filebeat-7.6.0\filebeat.yml配置文件
#=========================== Filebeat inputs =============================
filebeat.inputs:
- type: log #指定文件的輸入類型log(默認(rèn))或者stdin哟忍。
enabled: true
paths:
- F:\\Logs\*.log #收集指定文件夾下后綴為.log的日志文件
fields:
log_tag: erp #自己增加到fields里的字段
multiline: #用于日志中每一條日志占據(jù)多行的情況鹅髓,比如各種語言的報(bào)錯(cuò)信息調(diào)用棧拗慨。
pattern: '^\d{4}-\d{1,2}-\d{1,2}' #匹配以日期格式(yyyy-MM-dd) 開頭為另起一行廓八。
negate: true
match: after #匹配pattern后與后面(前面:before)的內(nèi)容合并為一條日志。
#================================ Outputs =====================================
#----------------------------- Logstash output --------------------------------
output.logstash: #發(fā)送數(shù)據(jù)到logstash
# Logstash 主機(jī)地址
hosts: ["localhost:5044"]
-
打開命令提示符窗口
cd F:\ELK\filebeat-7.6.0目錄赵抢,輸入filebeat.exe -e -c filebeat.yml回車剧蹂。
filebeat-7.6.0 啟動(dòng)圖 在
F:\Logs文件夾新建demo.log文件 寫入一條日志如:
2020-03-04 09:15:00 | DEBUG | 這是一條測(cè)試日志,哈哈哈烦却!-
觀察 logstash 控制臺(tái) 打印出Filebeat 發(fā)送過來的日志信息
logstash 控制臺(tái)
Filebeat 發(fā)送的日志宠叼,會(huì)包含以下字段:
beat.hostnamebeat 運(yùn)行的主機(jī)名beat.nameshipper 配置段設(shè)置的 name,如果沒設(shè)置短绸,等于 beat.hostname@timestamp讀取到該行內(nèi)容的時(shí)間type通過 document_type 設(shè)定的內(nèi)容input_type來自 "log" 還是 "stdin"source具體的文件名全路徑offset該行日志的起始偏移量message日志內(nèi)容fields添加的其他固定字段都存在這個(gè)對(duì)象里面
-
打開 kibana 創(chuàng)建日志索引 http://localhost:5601/app/kibana#/management/kibana/index_pattern?_g=()
定義索引模式 輸入filebeat-*下一步 時(shí)間篩選字段名稱 選擇@timestamp
點(diǎn)擊創(chuàng) 建索引模式 按鈕
創(chuàng)建索引模式
配置設(shè)置.JPG -
瀏覽 http://localhost:5601/app/kibana#/discover 查看日志
kibana日志.JPG
上一篇:Beats+ELK日志分析系統(tǒng)搭建【W(wǎng)indows環(huán)境】一车吹、ELK安裝部署
