filebeat如何配置日志输出格式

Filebeat 是一个轻量级的日志收集器，用于将日志数据从多个源发送到如 Elasticsearch 或 Logstash 等后端存储。要配置 Filebeat 的日志输出格式，你需要编辑 Filebeat 的配置文件 filebeat.yml。

以下是一个基本的 filebeat.yml 配置示例，展示了如何设置日志输出格式：

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/*.log

# 设置日志输出的格式
processors:
  - add_fields:
      targets: ["log"]
      fields:
        format: "json" # 可以是 "json", "csv", "plaintext" 或 "dissect"

# 如果你选择 "dissect" 格式，你需要定义一个 dissect 模板来解析你的日志
processors:
  - dissect:
      tokenizer: '%{timestamp} %{log_level} %{message}'
      field: "message"
      target_prefix: ""
      overwrite_keys: true

# 输出到控制台（或其他输出）
output.elasticsearch:
  hosts: ["localhost:9200"]

在这个例子中，我们定义了一个处理器来添加一个名为 format 的字段，该字段指定了日志的格式。可选的值包括：

• json: 日志已经是 JSON 格式。
• csv: 日志是以逗号分隔的值格式。
• plaintext: 日志是纯文本格式。
• dissect: 使用 dissect 模板来解析自定义格式的日志。

如果你选择了 dissect 或其他需要解析日志格式的处理器，你需要提供一个模板来告诉 Filebeat 如何解析每条日志。在上面的例子中，dissect 处理器使用了一个简单的模板来解析时间戳、日志级别和消息。

请注意，这只是一个基本的配置示例。根据你的具体需求，你可能需要调整输入路径、处理器和输出设置。在修改配置文件后，记得重启 Filebeat 服务以使更改生效。

sudo systemctl restart filebeat

或者，如果你不是使用 systemd，可以使用相应的命令来重启 Filebeat。