一、 Filebeat简介

Filebeat是一款轻量级的日志收集器，可以将日志文件发送到Elasticsearch、Logstash等地方。它支持多种日志格式，并且可以通过配置文件来定制其行为。

二、 Filebeat的输入配置

2.1 输入类型

Filebeat支持多种输入类型，包括文件、标准输入和管道等。在配置文件中，可以通过指定type来设置输入类型。

input {
    type: log
}

2.2 监控路径

在log输入类型中，需要指定要监控的日志文件路径。可以使用paths字段来指定多个路径。

input {
    type: log
    paths:
        - /var/log/*.log
}

2.3 自定义字段

可以通过fields字段来添加自定义字段，以便在后续的处理中方便地引用。

input {
    type: log
    paths:
        - /var/log/*.log
    fields:
        type: "system"
}

3.1 输出类型

Filebeat支持多种输出类型，包括Elasticsearch、Logstash、File等。在配置文件中，可以通过指定output字段来设置输出类型。

output {
    type: elasticsearch
}

3.2 Elasticsearch输出

在Elasticsearch输出类型中，需要指定Elasticsearch服务器的地址。

output {
    type: elasticsearch
    hosts: 
}

3.3 Logstash输出

在Logstash输出类型中，需要指定Logstash服务器的地址。

output {
    type: logstash
    hosts: 
}

3.4 File输出

在File输出类型中，需要指定输出文件的路径。

output {
    type: file
    path: "/var/log/filebeat"
}

四、 Filebeat的过滤器配置

4.1 过滤器类型

Filebeat支持多种过滤器类型，包括JSON、Grok、Drops等。在配置文件中，可以通过指定filter字段来设置过滤器。

filter {
    grok {
        match: 
    }
}

4.2 过滤器配置示例

filter {
    date {
        match: 
        target: "@timestamp"
    }
}

通过以上步骤，我们可以配置Filebeat的输入输出，使其能够高效地收集和传输日志数据。在实际应用中，可以根据需求进行相应的调整和优化。

---