容器输入

仅从指定的流中读取：all、stdout 或 stderr。默认值为 all。

读取日志文件时使用给定的格式：auto、docker 或 cri。默认值为 auto，它将自动检测格式。要禁用自动检测，请设置任何其他选项。

以下输入配置 Filebeat 以从默认 Kubernetes 日志路径下的所有容器读取 stdout 流

- type: container
  stream: stdout
  paths:
    - "/var/log/containers/*.log"

encoding编辑

用于读取包含国际字符的数据的文件编码。请参阅W3C 建议在 HTML5 中使用的编码名称。

有效的编码

plain 编码比较特殊，因为它不验证或转换任何输入。

exclude_lines编辑

一个正则表达式列表，用于匹配您希望 Filebeat 排除的行。Filebeat 会丢弃与列表中正则表达式匹配的任何行。默认情况下，不会丢弃任何行。空行将被忽略。

如果还指定了多行设置，则在按 exclude_lines 过滤行之前，每条多行消息都将合并为一行。

以下示例配置 Filebeat 以丢弃以 DBG 开头的任何行。

filebeat.inputs:
- type: container
  ...
  exclude_lines: ['^DBG']

有关支持的正则表达式模式列表，请参阅正则表达式支持。

include_lines编辑

一个正则表达式列表，用于匹配您希望 Filebeat 包含的行。Filebeat 仅导出与列表中正则表达式匹配的行。默认情况下，将导出所有行。空行将被忽略。

如果还指定了多行设置，则在按 include_lines 过滤行之前，每条多行消息都将合并为一行。

以下示例配置 Filebeat 以导出以 ERR 或 WARN 开头的任何行

filebeat.inputs:
- type: container
  ...
  include_lines: ['^ERR', '^WARN']

以下示例导出包含 sometext 的所有日志行，但以 DBG（调试消息）开头的行除外

filebeat.inputs:
- type: container
  ...
  include_lines: ['sometext']
  exclude_lines: ['^DBG']

有关支持的正则表达式模式列表，请参阅正则表达式支持。

harvester_buffer_size编辑

每个采集器在获取文件时使用的缓冲区大小（以字节为单位）。默认值为 16384。

max_bytes编辑

单个日志消息允许的最大字节数。超过 max_bytes 的所有字节都将被丢弃，并且不会发送。此设置对于可能会变得很大的多行日志消息特别有用。默认值为 10MB (10485760)。

json编辑

这些选项使 Filebeat 能够解码结构为 JSON 消息的日志。Filebeat 逐行处理日志，因此只有在每行只有一个 JSON 对象的情况下，JSON 解码才能正常工作。

解码发生在行过滤和多行之前。如果设置了 message_key 选项，则可以将 JSON 解码与过滤和多行结合使用。这在应用程序日志包装在 JSON 对象中的情况下很有用，例如 Docker 中的情况。

配置示例

json.keys_under_root: true
json.add_error_key: true
json.message_key: log

您必须至少指定以下设置之一才能启用 JSON 解析模式

multiline编辑

控制 Filebeat 如何处理跨越多行的日志消息的选项。有关配置多行选项的详细信息，请参阅多行消息。

exclude_files编辑

Filebeat 要忽略的文件的正则表达式列表。默认情况下，不排除任何文件。

以下示例配置 Filebeat 以忽略所有扩展名为 gz 的文件

filebeat.inputs:
- type: container
  ...
  exclude_files: ['\.gz$']

有关支持的正则表达式模式列表，请参阅正则表达式支持。

ignore_older编辑

如果启用此选项，则 Filebeat 会忽略在指定时间段之前修改的所有文件。如果您长时间保留日志文件，则配置 ignore_older 会特别有用。例如，如果您想启动 Filebeat，但只想发送最新的文件和上周的文件，则可以配置此选项。

您可以使用时间字符串，例如 2h（2 小时）和 5m（5 分钟）。默认值为 0，表示禁用该设置。注释掉配置与将其设置为 0 具有相同的效果。

受此设置影响的文件分为两类

对于以前从未见过的文件，偏移量状态设置为文件末尾。如果状态已存在，则不会更改偏移量。如果稍后再次更新文件，则读取将从设置的偏移位置继续。

ignore_older 设置依赖于文件的修改时间来确定是否忽略文件。如果在将行写入文件时未更新文件的修改时间（这可能发生在 Windows 上），则 ignore_older 设置可能会导致 Filebeat 忽略文件，即使稍后添加了内容也是如此。

要从注册表文件中删除先前采集过的文件的狀態，请使用 clean_inactive 配置选项。

在 Filebeat 忽略文件之前，必须先关闭该文件。为确保在忽略文件时不再采集文件，您必须将 ignore_older 设置为比 close_inactive 更长的持续时间。

如果当前正在采集的文件属于 ignore_older，则采集器将首先完成读取文件并在 close_inactive 到达后关闭文件。然后，在那之后，该文件将被忽略。

close_*编辑

close_* 配置选项用于在达到特定条件或时间后关闭采集器。关闭采集器意味着关闭文件句柄。如果在采集器关闭后更新了文件，则在 scan_frequency 経過后，将再次选取该文件。但是，如果在采集器关闭时移动或删除了文件，则 Filebeat 将无法再次选取该文件，并且采集器尚未读取的任何数据都将丢失。close_* 设置在 Filebeat 尝试从文件中读取时同步应用，这意味着如果 Filebeat 由于输出阻塞、队列已满或其他问题而处于阻塞状态，则原本会被关闭的文件将保持打开状态，直到 Filebeat 再次尝试从文件中读取。

close_inactive编辑

启用此选项后，如果在指定时间段内未采集文件，则 Filebeat 会关闭文件句柄。定义的时间段的计数器在采集器读取最后一行日志时启动。它不基于文件的修改时间。如果已关闭的文件再次更改，则会启动新的采集器，并在 scan_frequency 経過后选取最新的更改。

我们建议您将 close_inactive 设置为大于日志文件最不频繁更新的值。例如，如果您的日志文件每隔几秒更新一次，则可以安全地将 close_inactive 设置为 1m。如果有更新频率差异很大的日志文件，则可以使用具有不同值的多个配置。

将 close_inactive 设置为较低的值意味着文件句柄会更快关闭。但是，这有一个副作用，即如果采集器关闭，则不会实时发送新的日志行。

关闭文件的时间戳不取决于文件的修改时间。相反，Filebeat 使用反映文件上次采集时间的内部时间戳。例如，如果将 close_inactive 设置为 5 分钟，则在采集器读取文件的最后一行后，5 分钟的倒计时开始。

您可以使用时间字符串，例如 2h（2 小时）和 5m（5 分钟）。默认值为 5m。

close_renamed编辑

启用此选项后，Filebeat 会在文件重命名时关闭文件句柄。例如，在轮换文件时会发生这种情况。默认情况下，采集器保持打开状态并继续读取文件，因为文件句柄不依赖于文件名。如果启用了 close_renamed 选项，并且文件以不再与为路径指定的文件模式匹配的方式重命名或移动，则不会再次选取该文件。Filebeat 将不会完成读取文件。

当配置了基于 path 的 file_identity 时，请勿使用此选项。启用该选项没有意义，因为 Filebeat 无法使用路径名作为唯一标识符来检测重命名。

WINDOWS：如果您的 Windows 日志轮换系统显示错误，因为它无法轮换文件，则应启用此选项。

close_removed编辑

启用此选项后，Filebeat 会在删除文件时关闭采集器。通常，只有在文件处于非活动状态的时间超过 close_inactive 指定的时间后，才会删除该文件。但是，如果过早删除了文件，并且您没有启用 close_removed，则 Filebeat 会保持文件打开状态，以确保采集器已完成。如果此设置导致由于文件过早从磁盘中删除而导致文件未完全读取，请禁用此选项。

默认情况下启用此选项。如果禁用此选项，则还必须禁用 clean_removed。

WINDOWS：如果您的 Windows 日志轮换系统显示错误，因为它无法轮换文件，请确保启用此选项。

close_eof编辑

启用此选项后，Filebeat 会在到达文件末尾时立即关闭文件。如果您的文件只写入一次并且不会不时更新，则此选项很有用。例如，当您将每个日志事件写入新文件时，就会发生这种情况。默认情况下禁用此选项。

close_timeout编辑

启用此选项后，Filebeat 会为每个采集器提供预定义的生存期。无论读取器在文件中的哪个位置，读取都将在 close_timeout 时间段経過后停止。当您只想在文件上花费预定义的时间时，此选项对较旧的日志文件很有用。虽然 close_timeout 会在预定义的超时后关闭文件，但如果文件仍在更新，则 Filebeat 将根据定义的 scan_frequency 再次启动新的采集器。并且此采集器的 close_timeout 将再次开始倒计时。

如果输出被阻塞，则此选项特别有用，这会导致 Filebeat 即使对于已从磁盘中删除的文件也保持打开文件句柄。将 close_timeout 设置为 5m 可确保定期关闭文件，以便操作系统可以释放它们。

如果将 close_timeout 设置为等于 ignore_older，则如果在采集器关闭时修改了文件，则不会选取该文件。这种设置组合通常会导致数据丢失，并且不会发送完整的文件。

当您对包含多行事件的日志使用 close_timeout 时，采集器可能会在多行事件的中间停止，这意味着只会发送事件的一部分。如果采集器再次启动并且文件仍然存在，则只会发送事件的第二部分。

默认情况下，此选项设置为 0，表示已禁用。

clean_*编辑

clean_* 选项用于清理注册表文件中的状态条目。这些设置有助于减小注册表文件的大小，并可以防止潜在的 inode 重用问题。

clean_inactive编辑

启用此选项后，Filebeat 会在指定的非活动时间段経過后删除文件的状态。只有在 Filebeat 已经忽略该文件（该文件早于 ignore_older）时，才能删除该状态。clean_inactive 设置必须大于 ignore_older + scan_frequency，以确保在仍在采集文件时不会删除任何状态。否则，该设置可能会导致 Filebeat 不断重新发送完整内容，因为 clean_inactive 会删除 Filebeat 仍在检测的文件的状态。如果文件已更新或再次出现，则从头开始读取文件。

clean_inactive 配置选项可用于减小注册表文件的大小，尤其是在每天生成大量新文件时。

此配置选项还有助于防止因 Linux 上的 inode 重用而导致的 Filebeat 问题。有关更多信息，请参阅 inode 重用导致 Filebeat 跳过行。

clean_removed编辑

启用此选项后，如果在磁盘上再也找不到注册表中的文件（使用上次已知的名称），Filebeat 会将其清除。这意味着，在收集器完成工作后重命名的文件也将被删除。默认情况下启用此选项。

如果共享驱动器在短时间内消失并再次出现，则所有文件将从头开始重新读取，因为状态已从注册表文件中删除。在这种情况下，建议你禁用 clean_removed 选项。

如果你还禁用了 close_removed，则必须禁用此选项。

scan_frequency编辑

Filebeat 检查指定用于收集的路径中是否有新文件的频率。例如，如果你指定了 /var/log/* 之类的通配符，则将使用 scan_frequency 指定的频率扫描目录以查找文件。指定 1s 以尽可能频繁地扫描目录，而不会导致 Filebeat 扫描过于频繁。我们不建议将此值设置为 <1s。

如果你需要近乎实时地发送日志行，请勿使用非常低的 scan_frequency，而是调整 close_inactive，以便文件处理程序保持打开状态并不断轮询你的文件。

默认设置为 10 秒。

scan.sort编辑

如果为此设置指定了非空字符串值，则可以使用 scan.order 确定是使用升序还是降序。可能的值为 modtime 和 filename。要按文件修改时间排序，请使用 modtime，否则请使用 filename。将此选项留空以将其禁用。

如果为此设置指定了值，则可以使用 scan.order 配置是以升序还是降序扫描文件。

默认设置为禁用。

scan.order编辑

指定在 scan.sort 设置为非“无”值时是使用升序还是降序。可能的值为 asc 或 desc。

默认设置为 asc。

tail_files编辑

如果将此选项设置为 true，Filebeat 将在每个文件的末尾开始读取新文件，而不是从开头开始读取。将此选项与日志轮换结合使用时，新文件中的第一个日志条目可能会被跳过。默认设置为 false。

此选项适用于 Filebeat 尚未处理的文件。如果你之前运行过 Filebeat 并且文件的 state 已持久化，则 tail_files 将不适用。收集将从之前的偏移量继续。要将 tail_files 应用于所有文件，你必须停止 Filebeat 并删除注册表文件。请注意，这样做会删除所有先前的状态。

symlinks编辑

symlinks 选项允许 Filebeat 除了收集常规文件外，还可以收集符号链接。收集符号链接时，Filebeat 会打开并读取原始文件，即使它报告的是符号链接的路径。

配置符号链接以进行收集时，请确保排除原始路径。如果将单个输入配置为同时收集符号链接和原始文件，Filebeat 将检测到该问题，并且仅处理它找到的第一个文件。但是，如果配置了两个不同的输入（一个用于读取符号链接，另一个用于读取原始路径），则将收集两个路径，从而导致 Filebeat 发送重复数据并且输入覆盖彼此的状态。

如果指向日志文件的符号链接在文件名中包含其他元数据，并且你希望在 Logstash 中处理元数据，则 symlinks 选项会很有用。例如，Kubernetes 日志文件就是这种情况。

由于此选项可能会导致数据丢失，因此默认情况下禁用该选项。

backoff编辑

退避选项指定 Filebeat 抓取打开文件以进行更新的积极程度。在大多数情况下，你可以使用默认值。

backoff 选项定义在达到 EOF 后 Filebeat 等待多长时间后再次检查文件。默认值为 1 秒，这意味着如果添加了新行，则每秒检查一次文件。这实现了近乎实时的抓取。每次文件中出现新行时，backoff 值都会重置为初始值。默认值为 1 秒。

max_backoff编辑

在达到 EOF 后 Filebeat 等待多长时间后再次检查文件的最大时间。在多次退避检查文件后，无论为 backoff_factor 指定了什么值，等待时间都不会超过 max_backoff。因为读取新行最多需要 10 秒，所以为 max_backoff 指定 10 秒意味着，在最坏的情况下，如果 Filebeat 多次退避，则可以在日志文件中添加新行。默认值为 10 秒。

要求：将 max_backoff 设置为大于或等于 backoff 且小于或等于 scan_frequency（backoff <= max_backoff <= scan_frequency）。如果 max_backoff 需要更高，建议关闭文件处理程序，然后让 Filebeat 再次选择该文件。

backoff_factor编辑

此选项指定等待时间增加的速度。退避因子越大，达到 max_backoff 值的速度就越快。退避因子呈指数增长。允许的最小值为 1。如果将此值设置为 1，则禁用退避算法，并使用 backoff 值来等待新行。每次将 backoff 值乘以 backoff_factor，直到达到 max_backoff。默认值为 2。

harvester_limit编辑

harvester_limit 选项限制为一个输入并行启动的收集器的数量。这与打开的文件处理程序的最大数量直接相关。harvester_limit 的默认值为 0，这意味着没有限制。如果要收集的文件数量超过操作系统的打开文件处理程序限制，则此配置很有用。

设置收集器数量的限制意味着可能无法并行打开所有文件。因此，我们建议你将此选项与 close_* 选项结合使用，以确保更频繁地停止收集器，以便可以选取新文件。

当前，如果可以再次启动新的收集器，则会随机选择收集器。这意味着，可能会启动刚关闭然后又更新的文件的收集器，而不是启动长时间未收集的文件的收集器。

此配置选项适用于每个输入。你可以通过分配更高的收集器限制来使用此选项间接设置某些输入的更高优先级。

file_identity编辑

可以配置不同的 file_identity 方法，以适合你收集日志消息的环境。

file_identity.native: ~

file_identity.path: ~

按以下方式设置标记文件的位置

file_identity.inode_marker.path: /logs/.filebeat-marker