开始使用
编辑开始使用
编辑步骤 1:配置应用程序日志记录
编辑如果您想与现有记录器集成,将 ECS JSON 输出到文件或 stdout/stderr。
选择我们的一个格式化程序
如果您想将日志直接写入 Elastic 的端点之一(例如 Elastic Cloud / Elasticsearch)
选择我们的一个数据传输记录器
步骤 2:启用 APM 日志关联(可选)
编辑如果您正在使用 Elastic APM .NET 代理,可以配置日志关联,以将跟踪、事务和跨度 ID 字段注入到日志事件中。
默认情况下,如果未安装 APM 日志关联库,ECS 日志集成将从 System.Diagnostics.Activity 读取跟踪信息。
步骤 3:配置 Filebeat(可选)
编辑如果您正在使用我们的一个日志格式化程序,可以使用以下方法将这些日志传输到 Elastic。
- 按照 Filebeat 快速入门进行操作
- 将以下配置添加到您的
filebeat.yaml文件中。
对于 Filebeat 7.16+
filebeat.yaml。
filebeat.inputs: - type: filestream paths: /path/to/logs.json parsers: - ndjson: overwrite_keys: true add_error_key: true expand_keys: true processors: - add_host_metadata: ~ - add_cloud_metadata: ~ - add_docker_metadata: ~ - add_kubernetes_metadata: ~
|
使用 filestream 输入从活动日志文件中读取行。 |
|
|
来自解码的 JSON 对象的值会覆盖 Filebeat 通常添加的字段(类型、来源、偏移量等),以防发生冲突。 |
|
|
如果发生 JSON 反序列化错误,Filebeat 会添加一个 "error.message" 和 "error.type: json" 键。 |
|
|
Filebeat 将递归地对解码的 JSON 中的键进行去点化处理,并将它们展开为分层对象结构。 |
|
|
处理器可以增强您的数据。请参阅 处理器 以了解更多信息。 |
对于 Filebeat < 7.16
filebeat.yaml。
filebeat.inputs: - type: log paths: /path/to/logs.json json.keys_under_root: true json.overwrite_keys: true json.add_error_key: true json.expand_keys: true processors: - add_host_metadata: ~ - add_cloud_metadata: ~ - add_docker_metadata: ~ - add_kubernetes_metadata: ~
- 确保您的应用程序将日志记录到 stdout/stderr。
- 按照 在 Kubernetes 上运行 Filebeat 指南进行操作。
- 启用 基于提示的自动发现(取消注释
filebeat-kubernetes.yaml中的相应部分)。 - 将这些注释添加到使用 ECS 记录器的 Pod 中。这将确保正确解析日志。
- 确保您的应用程序将日志记录到 stdout/stderr。
- 按照 在 Docker 上运行 Filebeat 指南进行操作。
- 启用 基于提示的自动发现。
- 将这些标签添加到使用 ECS 记录器的容器中。这将确保正确解析日志。
docker-compose.yml。
有关更多信息,请参阅 Filebeat 参考。