配置日志记录
编辑配置日志记录编辑
filebeat.yml 配置文件中的 logging 部分包含用于配置日志输出的选项。日志记录系统可以将日志写入系统日志或轮换日志文件。如果未显式配置日志记录,则使用文件输出。
logging.level: info logging.to_files: true logging.files: path: /var/log/filebeat name: filebeat keepfiles: 7 permissions: 0640
除了在配置文件中设置日志记录选项之外,您还可以从命令行修改日志记录输出配置。请参阅 命令参考。
当 Filebeat 在使用 systemd 的 Linux 系统上运行时,它默认使用 -e 命令行选项,这会使其将所有日志记录输出写入 stderr,以便 journald 可以捕获它。其他输出将被禁用。请参阅 Filebeat 和 systemd 以了解更多信息并了解如何更改此设置。
配置选项编辑
您可以在 filebeat.yml 配置文件的 logging 部分中指定以下选项
logging.to_stderr编辑
如果为 true,则将所有日志记录输出写入标准错误输出。这等效于使用 -e 命令行选项。
logging.to_syslog编辑
如果为 true,则将所有日志记录输出写入系统日志。
Windows 上不支持此选项。
logging.to_eventlog编辑
如果为 true,则将所有日志记录输出写入 Windows 事件日志。
logging.to_files编辑
如果为 true,则将所有日志记录输出写入文件。达到日志文件大小限制时,日志文件会自动轮换。
仅当存在日志记录输出时,Filebeat 才会创建日志文件。例如,如果您将日志 级别 设置为 error 并且没有错误,则日志目录中将没有日志文件。
logging.level编辑
最低日志级别。 debug、info、warning 或 error 之一。默认日志级别为 info。
-
debug - 记录调试消息,包括所有已刷新事件的详细打印输出。还会记录 informational 消息、警告、错误和严重错误。当日志级别为
debug时,您可以指定要为其显示调试消息的选择器列表。如果未指定选择器,则使用*选择器显示所有组件的调试消息。 -
info - 记录 informational 消息,包括已发布事件的数量。还会记录任何警告、错误或严重错误。
-
warning - 记录警告、错误和严重错误。
-
error - 记录错误和严重错误。
logging.selectors编辑
不同 Filebeat 组件使用的仅限调试的选择器标签列表。使用 * 启用所有组件的调试输出。使用 publisher 显示与事件发布相关的调试消息。
可用选择器列表可能会在不同版本之间发生变化,因此请避免创建依赖于特定选择器的测试。
要查看哪些选择器可用,请在调试模式下运行 Filebeat(在配置中设置 logging.level: debug)。选择器名称显示在日志级别之后,并括在方括号中。
要配置多个选择器,请使用以下 YAML 列表语法
logging.selectors: [ harvester, input ]
要覆盖命令行上的选择器,请使用 -d 全局标志(-d 还会设置调试日志级别)。有关更多信息,请参阅 命令参考。
logging.metrics.enabled编辑
默认情况下,Filebeat 会定期记录其在上一期间内发生更改的内部指标。对于每个发生更改的指标,将记录自期间开始时的值起的增量。此外,所有非零内部指标的总值将在关闭时记录。将其设置为 false 可禁用此行为。默认为 true。
以下是一个示例日志行
2017-12-17T19:17:42.667-0500 INFO [metrics] log/log.go:110 Non-zero metrics in the last 30s: beat.info.uptime.ms=30004 beat.memstats.gc_next=5046416
请注意,我们目前不为内部指标提供向后兼容性保证,因此也没有记录它们。
logging.metrics.period编辑
记录内部指标的时间间隔。默认值为 30 秒。
logging.metrics.namespaces编辑
要在日志中报告的指标命名空间列表。默认为 [stats]。 stats 包含常规 Beat 指标。 dataset 和 inputs 可能存在于某些 Beat 中,并包含模块或输入指标。
logging.files.path编辑
写入日志文件的目录。默认为日志路径。有关详细信息,请参阅 目录布局 部分。
logging.files.name编辑
写入日志的文件的名称。默认为 *filebeat*。
logging.files.rotateeverybytes编辑
日志文件的最大大小。如果达到限制,则会生成新的日志文件。默认大小限制为 10485760(10 MB)。
logging.files.keepfiles编辑
要保留在磁盘上的最新轮换日志文件数。旧文件将在日志轮换期间删除。默认值为 7。 keepfiles 选项必须在 2 到 1024 个文件之间。
logging.files.permissions编辑
轮换日志文件时应用的权限掩码。默认值为 0600。 permissions 选项必须是以八进制表示法表示的有效的 Unix 样式文件权限掩码。在 Go 中,八进制表示法中的数字必须以 *0* 开头。
允许的最高权限掩码为 0640。如果通过此设置指定了更高的权限掩码,则它将受 0027 的 umask 限制。
Windows 上不支持此选项。
示例
- 0640:授予文件所有者读写访问权限,并授予与该文件关联的组的成员读取访问权限。
- 0600:授予文件所有者读写访问权限,并拒绝所有其他人访问。
logging.files.interval编辑
除了基于大小的轮换之外,还启用按时间间隔进行的日志文件轮换。间隔必须至少为 1 秒。值 1m、1h、24h、7*24h、30*24h 和 365*24h 与本地系统时钟报告的分钟、小时、天、周、月和年边界对齐。所有其他间隔均从 Unix 时间戳开始计算。默认为禁用。
logging.files.rotateonstartup编辑
如果日志文件在启动时已存在,则立即将其轮换并开始写入新文件,而不是追加到现有文件。默认为 true。
logging.files.redirect_stderr [预览] 此功能处于技术预览阶段,可能会在未来的版本中更改或删除。Elastic 将努力解决任何问题,但技术预览版中的功能不受官方 GA 功能的支持 SLA 的约束。 编辑
如果为 true,则打印到 Filebeat 标准错误输出的诊断消息也将记录到日志文件中。在 Filebeat 由于 Go 运行时检测到错误而意外终止,但日志文件中不存在诊断信息的情况下,这可能会有所帮助。此功能仅在记录到文件时可用(logging.to_files 为 true)。默认情况下禁用。
日志记录格式编辑
每个日志输出的日志格式通常都相同。唯一的例外是 syslog 输出,其中消息中不包含时间戳,因为 syslog 会添加自己的时间戳。
每个日志消息都包含以下部分
- ISO8601 格式的时间戳
- 级别
- 括号中包含的记录器名称(可选)
- 调用者的文件名和行号
- 消息
- 以 JSON 编码的结构化数据(可选)
以下是一些示例
2017-12-17T18:54:16.241-0500 INFO logp/core_test.go:13 未命名的全局记录器
2017-12-17T18:54:16.242-0500 INFO [example] logp/core_test.go:16 一些消息
2017-12-17T18:54:16.242-0500 INFO [example] logp/core_test.go:19 一些消息 {"x": 1}