logstash收集时filebeat区分日志

最新推荐文章于 2025-07-02 00:09:12 发布

原创最新推荐文章于 2025-07-02 00:09:12 发布 · 6.4k 阅读

4 ·

CC 4.0 BY-SA版权

ELK 同时被 3 个专栏收录

11 篇文章

订阅专栏

logstash

3 篇文章

订阅专栏

filebeat

1 篇文章

订阅专栏

1.场景

filebeat在服务器中同时收集nginx和web项目日志，需要对两个日志在logstash中分别处理

2.版本区别

==6.x之前==的可以使用filebeat的prospectors里面配置document_type类型，然后在logstash里面使用if [type] == “string” 来匹配，这里不做详细记录
==6.x之后==配置文件不支持document_type，也就是说旧方法是失效的，目前我使用的是==6.2.3==版本的filebeat

3.解决方法

在filebeat里面新增一个fields字段，对这个字段做记录然后在logstahs中进行区分

filebeat配置

filebeat.prospectors:

- type: log

  paths:
    - /Library/apache-tomcat-8.5.15/bin/logs/web.log
    #- c:\programdata\elasticsearch\logs\*

  fields: 
    document_type: weblog   #这一行的key：value都可以自己定义

logstash配置

output{
    if[fields][document_type] == "weblog" {
        stdout { codec => rubydebug }  
    }
}

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

星火犹存

关注关注

1
点赞
踩
4

收藏

觉得还不错? 一键收藏
2
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

logtash + filebeat 采集多日志的区分使用

weixin_39602215的博客

12-12

1181

在filebeat配置文件中加入以下内容,然后重启filebeat vim filebeat.yml #由于需要收集多个日志文件以便在Elasticsearch中生成索引，因此我们需要给不同的日志文件先打一个标记，以便在logstash中使用 tags: ["zgzg"] #开启该配置，表示从日志文件的尾部开始获取日志，不必完全加载所有日志，以防数据太大 tail_files...

elk日志分析filebeat配置（filebeat + logstash）

最新发布

2301_81259717的博客

07-02

898

Elasticsearch 是一个基于 Lucene 的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎，基于 RESTful web 接口。Elasticsearch 是用 Java 开发的，并作为 Apache 许可条款下的开放源码发布，是当前流行的企业级搜索引擎。设计用于云计算中，能够达到实时搜索，稳定，可靠，快速，安装使用方便。Logstash 有 JRuby 语言编写，运行在 Java 虚拟机（JVM）上，是一款强大的数据处理工具，可以实现数据传输、格式处理、格式化输出。

filebeat开启自带模块收集日志如何辨别日志来源等

weixin_30381793的博客

09-02

788

filebeat启动自带模块后，日志先输出到Redis中比如开启了system模块日志和redis模块日志在Redis中查看收集过来的日志时，可以看到如下的这些信息 system日志信息 { "@timestamp": "2019-09-02T04:10:20.423Z", "@metadata": { "beat": "filebeat", "type": ...

Filebeat 如何区分不同日志来源

weixin_30443747的博客

12-15

697

刚接手elk就被这个问题困惑过，或许仔细阅读官方文档是最佳方式提到的场景，Filebeat 虽然能读取不同的日志目录，但是在 Logstash 这边，或者是 Elasticsearch 这边，怎么区分不同 application server 的日志数据呢？解决方案：Filebeat 的配置项 fields 或者配置tags 可以实现不同日志来源的区分 filebeat.yml ...

filebeat同时采集多个日志时，logstash和filebeat的文件配置

hjxloveqsx的博客

09-15

2649

filebeat同时采集多个日志时，logstash和filebeat的文件配置

搭建es+kibana+logstash+filebeat 日志收集分析

04-03

2288

架构： 10.6.14.77 es,kibana,logstash （三项默认的配置均为localhost，起在同一台服务器不再需要修改） 10.6.13.116 filebeat 10.6.13.210 filebeat 分别收集两台服务器的日志版本： es 6.2.3 kibana 6.2.3 logstash 6.2.3 filebeat 6.3.2 前置：...

搭建elk+logstash+kafka+filebeat日志收集平台

BlackMoon

02-04

633

在日常的运维过程中，对系统日志和业务日志的处理比较重要，对于以后的数据分析、排查异常问题有很重的作用。今天就分享一个自己基于kafka+ELK+filebeat的日志记录分析平台。组件介绍 Elasticsearch Elasticsearch(ES)是一个基于Lucene构件的开源、分布式、RESTful接口全文搜索引擎。ES还是一个分布式文档数据库，其中每个字段均是被索引的数据且可被搜索，它能够扩展至数以百计的服务器存储以及处理PB级别的数据。它可以在很短的时间内在存储、搜索和分析大量的数据。它通常

FIlebeat和Logstash部署步骤

02-26

Filebeat是Beats系列中的一个轻量级日志收集工具，占用资源少，适合在各个服务器上搜集日志后传输给Logstash。Filebeat可以同时向多个Logstash写日志，保证高可用性。 ELK栈的架构图如下： * 服务端：Filebeat -> ...

LogStash 接收 Filebeat

菜鸟厚非

05-26

2451

LogStash 接受 Filebeat 信息判断不同 Pipeline https://blog.youkuaiyun.com/u012164509/article/details/94448375

Logstash不同服务日志分索引收集

m0_56362438的博客

10-27

647

一般我们使用elk的时候，都是多个服务一起使用，那我们该怎么不同服务之间创建出不同的索引呢？我们就可以利用Logstash提供的多个input配置,type配置类型，根据监听的端口和type在es中创建不同的索引。一个是consumer另一个是product，目前的话就实现了不同服务之间日志文件不同的监听情况。下面是Logstash的打印的情况。

filebeat 收集nginx日志发送到logstash，并且用logstash 切割日志发送到elasticsearch，使用kibana展示出来

huyue1107的博客

09-22

872

注意：es 和kibana配置没什么好说的，kibana主要是打开console.enabled: "true"，logstat 需要给nginx日志切割一下，message是切割nginx的日志，下面会详细讲如何切割。3、type: nginx-log 这个是类型，要和lostash中的output名称一致，看不清楚可以浏览器 curl+f 搜一下nginx-log。说明：准备的都是单台没有集群，es也没设置密码，项目内部使用，并没用对外开，都是安全组过白IP的。

详解日志采集工具--Logstash、Filebeat、Fluentd、Logagent对比

liuyinlong

04-17

1648

概述常见的日志采集工具有Logstash、Filebeat、Fluentd、Logagent、rsyslog等等，那么他们之间有什么区别呢?什么情况下我们应该用哪一种工具? Logstash Logstash是一个开源数据收集引擎，具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来，并将数据标准化到你所选择的目的地。优势 Logstash 主要的...

k8s 日志收集、es+ Filebeat +kibala

qq_40178286的博客

06-23

973

k8s 日志收集、es+ Filebeat +kibala

kafka- elk-filebeat 日志收集

面朝大海，春暖花开

04-30

1240

kafka - 集成 elk+filebeat 日志收集基于 elasticsearch 7.x 什么是 ELK ? ELK: Elasticsearch + Logstash + Kibana Logstash: 日志读取 FileBeat：比 Logstash 更轻量级日志收集流程流程: fileBeat 从各节点读取日志文件 fileBeat 将日志写入 kafka logstash 从 kafka 订阅日志 logstash 将日志写入 elasticsearch kibana 展示

filebeat 5.2.2详细配置说明

weixin_39077573的博客

06-19

8834

#filebeat 5.2.2 #prospector(input)段配置 filebeat.prospectors: #每一个prospectors，起始于一个破折号"-" - input_type: log #默认log，从日志文件读取每一行。stdin，从标准输入读取 paths: #日志文件路径列表，可用通配符，不递归 - /var/log/*.

K8s容器日志实时收集FileBeat+ES+Kibana

i4t abcdocker的博客

04-04

6392

K8s容器日志实时收集FileBeat+ES+Kibana www.i4t.com 标签（空格分隔）： ELK 文章目录K8s容器日志实时收集FileBeat+ES+Kibana@[toc]一、FileBeat1.1 FileBeat工作原理harvesterprospectorFilebeat 保持文件状态二、环境配置2.1 Tomcat镜像制作2.2 Filebeat 制作镜像2.3 Elas...

日志收集器Filebeat详解

猴子哥哥的博客

04-26

1万+

一、简介 1、Beats是elastic公司的一款轻量级数据采集产品，它包含了几个子产品： 1）packetbeat(用于监控网络流量) 2）filebeat(用于监听日志数据，可以替代logstash-input-file) 3）topbeat(用于搜集进程的信息、负载、内存、磁盘等数据) 4）winlogbeat(用于搜集windows事件日志) 注：社区还提供了dockerbea

filebeat配置多文件并在logstash中区分索引输出到es中

04-22

好的，这是一个比较常见的问题，一般的解决方案如下： 1. 首先，在filebeat的配置文件中进行多文件配置。例如，你可以使用如下的配置： filebeat.prospectors: - paths: - /var/log/logfile1.log - /var/log/logfile2.log - /var/log/logfile3.log input_type: log fields: log_type: logfile1 - paths: - /var/log/logfile4.log - /var/log/logfile5.log - /var/log/logfile6.log input_type: log fields: log_type: logfile2 这个配置文件会将三个文件（/var/log/logfile1.log, /var/log/logfile2.log, /var/log/logfile3.log）认为是一类，将三个文件（/var/log/logfile4.log, /var/log/logfile5.log, /var/log/logfile6.log）认为是另外一类，其中 fields 中的值可以任意指定，主要是为了在 logstash 中区分不同的日志类型。 2. 在logstash中进行判断。在logstash的配置文件中，我们可以使用条件语句来判断哪些日志属于哪个索引，例如： input { beats { port => 5044 } } filter { if [fields][log_type] == "logfile1" { mutate { add_field => {"[@metadata][index]" => "logstash-logfile1-%{+YYYY.MM.dd}"} } } else if [fields][log_type] == "logfile2" { mutate { add_field => {"[@metadata][index]" => "logstash-logfile2-%{+YYYY.MM.dd}"} } } else { drop {} } } output { elasticsearch { hosts => ["localhost:9200"] index => "%{[@metadata][index]}" } } 这个配置文件会根据 fields 中的值判断哪些日志应该属于哪个索引，并将它们输出到对应的索引中。希望这个回答可以帮到你！