配置日志

filebeat.yml 配置文件中的 logging 部分包含配置日志输出的选项。日志系统可以将日志写入 syslog 或轮换日志文件。如果未显式配置日志，则使用文件输出。

logging.level: info
logging.to_files: true
logging.files:
  path: /var/log/filebeat
  name: filebeat
  keepfiles: 7
  permissions: 0640

您可以在 filebeat.yml 配置文件的 logging 部分中指定以下选项

如果为 true，则将所有日志输出写入标准错误输出。这等效于使用 -e 命令行选项。

如果为 true，则将所有日志输出写入 syslog。

如果为 true，则将所有日志输出写入 Windows 事件日志。

如果为 true，则将所有日志输出写入文件。当日志文件大小达到限制时，将自动轮换日志文件。

最小日志级别。可以是 debug、info、warning 或 error 之一。默认日志级别为 info。

不同 Filebeat 组件使用的仅用于调试的选择器标记列表。使用 * 可为所有组件启用调试输出。使用 publisher 可显示与事件发布相关的调试消息。

要配置多个选择器，请使用以下 YAML 列表语法

logging.selectors: [ harvester, input ]

要在命令行上覆盖选择器，请使用 -d 全局标志（-d 还会设置调试日志级别）。有关更多信息，请参阅 命令参考。

默认情况下，Filebeat 会定期记录其内部指标，这些指标在上一个周期内已更改。对于每个更改的指标，都会记录该周期开始时的值与当前值之间的差值。此外，所有非零内部指标的总值都会在关闭时记录。将其设置为 false 可禁用此行为。默认为 true。

这是一个示例日志行

2017-12-17T19:17:42.667-0500    INFO    [metrics]       log/log.go:110  Non-zero metrics in the last 30s: beat.info.uptime.ms=30004 beat.memstats.gc_next=5046416

请注意，我们目前不为内部指标提供向后兼容性保证，因此它们也没有文档记录。

记录内部指标的时间间隔。默认为 30 秒。

要在日志中报告的指标命名空间列表。默认为 [stats]。stats 包含常规 Beat 指标。dataset 和 inputs 可能存在于某些 Beats 中，并包含模块或输入指标。

写入日志文件的目录。默认为日志路径。有关详细信息，请参阅 目录布局 部分。

写入日志文件的文件名。默认为 filebeat。

日志文件的最大大小。如果达到限制，将生成一个新的日志文件。默认大小限制为 10485760 (10 MB)。

要保留在磁盘上的最近轮换的日志文件数量。旧文件在日志轮换期间被删除。默认值为 7。keepfiles 选项的值必须在 2 到 1024 个文件之间。

轮换日志文件时应用的权限掩码。默认值为 0600。permissions 选项必须是有效的 Unix 样式文件权限掩码，以八进制表示法表示。在 Go 中，八进制表示法中的数字必须以 0 开头。

允许的最大权限掩码为 0640。如果通过此设置指定更高的权限掩码，则它将受 0027 的 umask 约束。

Windows 不支持此选项。

示例

除了基于大小的轮换外，还可以在时间间隔内启用日志文件轮换。间隔必须至少为 1 秒。1m、1h、24h、7*24h、30*24h 和 365*24h 的值与本地系统时钟报告的分钟、小时、天、周、月和年对齐。所有其他间隔均从 Unix 纪元计算。默认为禁用。

如果启动时日志文件已存在，则立即轮换它并开始写入新文件，而不是追加到现有文件。默认为 true。

如果为 true，则打印到 Filebeat 标准错误输出的诊断消息也会记录到日志文件中。这在 Filebeat 因 Go 的运行时检测到错误而意外终止但日志文件中不存在诊断信息的情况下非常有用。此功能仅在记录到文件时可用（logging.to_files 为 true）。默认禁用。

通常，每个日志输出的日志格式相同。唯一的例外是 syslog 输出，其中时间戳不包含在消息中，因为 syslog 会添加自己的时间戳。

每条日志消息都包含以下部分

以下是一些示例

2017-12-17T18:54:16.241-0500 INFO logp/core_test.go:13 unnamed global logger

2017-12-17T18:54:16.242-0500 INFO [example] logp/core_test.go:16 some message

2017-12-17T18:54:16.242-0500 INFO [example] logp/core_test.go:19 some message {"x": 1}

某些输出会在发生错误时记录原始事件，例如 Elasticsearch 输出中的索引错误，为了防止将原始事件（可能包含敏感信息）与其他日志消息一起记录，会使用一个不同的日志文件，仅用于包含原始事件的日志条目。它将使用默认记录器的相同级别、选择器和所有其他配置，但它将具有自己的文件配置。

为原始事件使用不同的日志文件还可以防止事件数据淹没常规日志文件。

写入日志文件的目录。默认为日志路径。有关详细信息，请参阅 目录布局 部分。

写入日志文件的文件名。默认为 filebeat-events-data。

日志文件的最大大小。如果达到限制，将生成一个新的日志文件。默认大小限制为 5242880 (5 MB)。

磁盘上保留的最近轮转日志文件的数量。较旧的文件将在日志轮转期间删除。默认值为 2。 keepfiles 选项的值必须在 2 到 1024 个文件之间。

轮换日志文件时应用的权限掩码。默认值为 0600。permissions 选项必须是有效的 Unix 样式文件权限掩码，以八进制表示法表示。在 Go 中，八进制表示法中的数字必须以 0 开头。

允许的最大权限掩码为 0640。如果通过此设置指定更高的权限掩码，则它将受 0027 的 umask 约束。

Windows 不支持此选项。

示例

除了基于大小的轮换外，还可以在时间间隔内启用日志文件轮换。间隔必须至少为 1 秒。1m、1h、24h、7*24h、30*24h 和 365*24h 的值与本地系统时钟报告的分钟、小时、天、周、月和年对齐。所有其他间隔均从 Unix 纪元计算。默认为禁用。

如果日志文件在启动时已存在，则立即轮转该文件并开始写入新文件，而不是追加到现有文件。默认为 false。