day04 Filebeat(二) 自定索引

在上一章节我们已经可以抓取log资料到Elasticsearch内，今天我们将在进一步的设定filebeat.yml，来让我们可以更进一步了解elk功能。

Filebeat如何设定索引

前往kibana网页查询资料，确认资料是否能正常抓取，查询时用索引为filebeat-*，从这里我们可以看出当设定档没特别指定索引时，就会自动使用filebeat-*来当索引，接下来我们将进一步去设定各自资料的索引来区别资料。

修改filebeat.yml

filebeat.inputs:

# 设定要抓取log的路径
- type: filestream
  enabled: true
  paths:
    - /usr/local/var/log/nginx/*.log

# 设定kibana
setup.kibana:
  host: "localhost:5601"

# 设定elasticsearch
output.elasticsearch:
  hosts: ["localhost:9200"]
  #设定索引名称
  index: "mytest-nginx-%{+yyyy.MM.dd}"

# 设定索引样板资讯
setup.template.name: "mytest-nginx"
setup.template.pattern: "mytest-nginx-*"
setup.ilm.enabled: false

查看kibana介面，可以发现系统有自动产生对应名称的样板和索引
样板名称mytest-nginx

索引mytest-nginx-2021.09.08

filebeat如何增加自定的栏位

filebeat.yml增加下列资料

processors:
  - add_host_metadata:
      when.not.contains.tags: forwarded
  - add_cloud_metadata: ~
  - add_docker_metadata: ~
  - add_kubernetes_metadata: ~
  - add_fields:
      target: content
      fields:
        myfields: "mynginx"

接下来我们就可以在kibana介面上发现多出一个content.myfields的栏位

小结

今日了解filebeat如何定义不同的索引，这对我们在查询资料提升了大大的便利性。