1、启动 Filebeat
- 修改
F:\ELK\filebeat-7.6.0\filebeat.yml配置文件
#=========================== Filebeat inputs =============================
filebeat.inputs:
- type: log #指定文件的输入类型log(默认)或者stdin。
enabled: true
paths:
- F:\\Logs\*.log #收集指定文件夹下后缀为.log的日志文件
fields:
log_tag: erp #自己增加到fields里的字段
multiline: #用于日志中每一条日志占据多行的情况,比如各种语言的报错信息调用栈。
pattern: '^\d{4}-\d{1,2}-\d{1,2}' #匹配以日期格式(yyyy-MM-dd) 开头为另起一行。
negate: true
match: after #匹配pattern后与后面(前面:before)的内容合并为一条日志。
#================================ Outputs =====================================
#----------------------------- Logstash output --------------------------------
output.logstash: #发送数据到logstash
# Logstash 主机地址
hosts: ["localhost:5044"]
-
打开命令提示符窗口
cd F:\ELK\filebeat-7.6.0目录,输入filebeat.exe -e -c filebeat.yml回车。
filebeat-7.6.0 启动图 在
F:\Logs文件夹新建demo.log文件 写入一条日志如:
2020-03-04 09:15:00 | DEBUG | 这是一条测试日志,哈哈哈!-
观察 logstash 控制台 打印出Filebeat 发送过来的日志信息
logstash 控制台
Filebeat 发送的日志,会包含以下字段:
beat.hostnamebeat 运行的主机名beat.nameshipper 配置段设置的 name,如果没设置,等于 beat.hostname@timestamp读取到该行内容的时间type通过 document_type 设定的内容input_type来自 "log" 还是 "stdin"source具体的文件名全路径offset该行日志的起始偏移量message日志内容fields添加的其他固定字段都存在这个对象里面
-
打开 kibana 创建日志索引 http://localhost:5601/app/kibana#/management/kibana/index_pattern?_g=()
定义索引模式 输入filebeat-*下一步 时间筛选字段名称 选择@timestamp
点击创 建索引模式 按钮
创建索引模式
配置设置.JPG -
浏览 http://localhost:5601/app/kibana#/discover 查看日志
kibana日志.JPG
