Beats+ELK日志分析系统搭建【Windows环境】二、使用 Filebeat 收集文件日志

1、启动 Filebeat

• 修改 F:\ELK\filebeat-7.6.0\filebeat.yml 配置文件

#=========================== Filebeat inputs =============================

filebeat.inputs:
- type: log     #指定文件的输入类型log(默认)或者stdin。
  enabled: true
  paths:
    - F:\\Logs\*.log   #收集指定文件夹下后缀为.log的日志文件
  fields:
   log_tag: erp #自己增加到fields里的字段
  multiline:   #用于日志中每一条日志占据多行的情况，比如各种语言的报错信息调用栈。
        pattern: '^\d{4}-\d{1,2}-\d{1,2}'  #匹配以日期格式(yyyy-MM-dd) 开头为另起一行。
        negate: true
        match: after  #匹配pattern后与后面（前面:before）的内容合并为一条日志。


#================================ Outputs =====================================
#----------------------------- Logstash output --------------------------------
output.logstash:  #发送数据到logstash
  #  Logstash 主机地址
  hosts: ["localhost:5044"]

• 打开命令提示符窗口 cd F:\ELK\filebeat-7.6.0 目录，输入filebeat.exe -e -c filebeat.yml 回车。
  

  filebeat-7.6.0 启动图

• 在 F:\Logs 文件夹新建 demo.log 文件 写入一条日志如：
  2020-03-04 09:15:00 | DEBUG | 这是一条测试日志，哈哈哈！

• 观察 logstash 控制台 打印出Filebeat 发送过来的日志信息

  
  
  logstash 控制台

Filebeat 发送的日志，会包含以下字段：

• beat.hostname beat 运行的主机名
• beat.name shipper 配置段设置的 name，如果没设置，等于 beat.hostname
• @timestamp 读取到该行内容的时间
• type 通过 document_type 设定的内容
• input_type 来自 "log" 还是 "stdin"
• source 具体的文件名全路径
• offset 该行日志的起始偏移量
• message 日志内容
• fields 添加的其他固定字段都存在这个对象里面

• 打开 kibana 创建日志索引 http://localhost:5601/app/kibana#/management/kibana/index_pattern?_g=()
  定义索引模式 输入 filebeat-* 下一步 时间筛选字段名称 选择 @timestamp
  点击创 建索引模式 按钮
  

  创建索引模式
  
  
  配置设置.JPG

• 浏览 http://localhost:5601/app/kibana#/discover 查看日志
  

  kibana日志.JPG

上一篇：Beats+ELK日志分析系统搭建【Windows环境】一、ELK安装部署