filebeat 安装：文件节拍快速入门：安装和配置 |文件节拍参考 [7.17] |弹性的 (elastic.co)
 

解压缩后，以配置nginx日志为例。

Nginx module | Filebeat Reference [7.17] | Elastic

filebeat 配置中，

- module: nginx access: enabled: true var.paths: xx enabled 和 var.paths 代表什么意思配置什么的

Answer :
        在Filebeat的Nginx模块配置中， - module: nginx 指定了要启用的模块。 access 指定了要收集的日志类型，即Nginx的访问日志。 enabled: true 表示启用该模块， var.paths 指定要收集的日志文件的路径和名称。你需要将 var.paths 替换为实际的日志文件路径和名称。 例如，如果你的Nginx访问日志文件位于 /var/log/nginx/access.log ，则可以将 var.paths 设置为：

var.paths: ["/var/log/nginx/access.log"]

这将告诉Filebeat收集 /var/log/nginx/access.log 文件中的Nginx访问日志。你也可以指定多个路径，例如：

var.paths: ["/var/log/nginx/access.log", "/path/to/other/access.log"]

这将告诉Filebeat收集多个日志文件中的Nginx访问日志。

然后启动

./filebeat

打开 kibana，进入索引模式，查询filebeat-*数据

 然后添加新的索引模式，就可以在 Discover 搜索了

ECS：
 

What is ECS?

Elastic Common Schema (ECS) 定义了一组通用字段，用于将数据提取到 Elasticsearch 中。有关 ECS 的更多信息，请访问 ECS 参考文档。

 ECS Reference Documentation.

What is ECS logging?

ECS 记录器是您最喜欢的日志记录库的插件。它们可以轻松地将您的日志格式化为与 ECS 兼容的 JSON。例如：

{"@timestamp":"2019-08-06T12:09:12.375Z", "log.level": "INFO", "message":"Tomcat started on port(s): 8080 (http) with context path ''", "service.name":"spring-petclinic","process.thread.name":"restartedMain","log.logger":"org.springframework.boot.web.embedded.tomcat.TomcatWebServer"}
{"@timestamp":"2019-08-06T12:09:12.379Z", "log.level": "INFO", "message":"Started PetClinicApplication in 7.095 seconds (JVM running for 9.082)", "service.name":"spring-petclinic","process.thread.name":"restartedMain","log.logger":"org.springframework.samples.petclinic.PetClinicApplication"}
{"@timestamp":"2019-08-06T14:08:40.199Z", "log.level":"DEBUG", "message":"init find form", "service.name":"spring-petclinic","process.thread.name":"http-nio-8080-exec-8","log.logger":"org.springframework.samples.petclinic.owner.OwnerController","transaction.id":"28b7fb8d5aba51f1","trace.id":"2869b25b5469590610fea49ac04af7da"}