一、Filebeat输出日志格式设置
1.1 编辑vim filebeat.yml文件,修改输出格式设置
# output to console
output.console:
codec.format:
string: '%{[@timestamp]} %{[message]}'
pretty: true
### 1.2 测试
执行 ./filebeat -e 可以看到/tmp/access.log(目前文件里只有140.77.188.102 - - [25/Jun/2022:05:11:33 +0800] "GET /api/ss/api/v1/login/getBas......这一行)文件里原有的日志就被读取并输出了。
二、Filebeat 输出过滤
在输出的内容中,删除包含INFO的行,如下,在processors下增加- drop_event: 模块,提供一个正则表达式,来去除对应的事件(文件中的行)。
processors:
- drop_event:
when:
regexp:
message: "^INFO"
测试步骤:
修改完上述filebeat.yml配置文件后,先执行./filebeat -e 保持控制台不动,编辑/tmp/access.log, 添加如下行,看控制台输出:
添加上述2行之后,控制台输入如下,只输出了NOT INFO行,而符合正则表达式的INFO开头的行则没有被输出。(各位可以尝试其他正则进行测试)
