›

入门

入门编辑

步骤 1：安装编辑

将包添加到您的 go.mod 文件中

require go.elastic.co/ecslogrus master

步骤 2：配置编辑

设置默认日志记录器。例如

log := logrus.New()
log.SetFormatter(&ecslogrus.Formatter{})

示例编辑

使用结构化日志记录编辑

// Add custom fields.
log.WithError(errors.New("boom!")).WithField("custom", "foo").Info("hello")

上面的示例生成以下日志输出

{
  "@timestamp": "2021-01-20T11:12:43.061+0800",
  "custom":"foo",
  "ecs.version": "1.6.0",
  "error": {
    "message": "boom!"
  },
  "log.level": "info",
  "message":"hello"
}

将自定义字段嵌套在“labels”下编辑

为了完全符合 ECS，自定义字段应嵌套在“labels”对象中。

log := logrus.New()
log.SetFormatter(&ecslogrus.Formatter{
    DataKey: "labels",
})
log.WithError(errors.New("boom!")).WithField("custom", "foo").Info("hello")

上面的示例生成以下日志输出

{
  "@timestamp": "2021-01-20T11:12:43.061+0800",
  "ecs.version": "1.6.0",
  "error": {
    "message": "boom!"
  },
  "labels": {
    "custom": "foo"
  },
  "log.level": "info",
  "message":"hello"
}

报告调用者信息编辑

log := logrus.New()
log.SetFormatter(&ecslogrus.Formatter{})
log.ReportCaller = true
log.Info("hello")

上面的示例生成以下日志输出

{
  "@timestamp": "2021-01-20T11:12:43.061+0800",
  "ecs.version": "1.6.0",
  "log.level": "info",
  "log.origin.file.line": 48,
  "log.origin.file.name": "/path/to/example_test.go",
  "log.origin.function": "go.elastic.co/ecslogrus_test.ExampleFoo",
  "message":"hello"
}

步骤 3：配置 Filebeat编辑

按照 Filebeat 快速入门
将以下配置添加到您的 filebeat.yaml 文件中。

对于 Filebeat 7.16+

filebeat.yaml。

filebeat.inputs:
- type: filestream 
  paths: /path/to/logs.json
  parsers:
    - ndjson:
      overwrite_keys: true 
      add_error_key: true 
      expand_keys: true 

processors: 
  - add_host_metadata: ~
  - add_cloud_metadata: ~
  - add_docker_metadata: ~
  - add_kubernetes_metadata: ~

	使用 filestream 输入从活动日志文件中读取行。
	来自解码 JSON 对象的值会覆盖 Filebeat 通常添加的字段（类型、源、偏移量等），以防发生冲突。
	Filebeat 在发生 JSON 反序列化错误的情况下添加一个“error.message”和“error.type: json”键。
	Filebeat 将递归地取消解码 JSON 中的点分隔键，并将它们扩展为分层对象结构。
	处理器增强您的数据。看到处理器了解更多。

对于 Filebeat < 7.16

filebeat.yaml。

filebeat.inputs:
- type: log
  paths: /path/to/logs.json
  json.keys_under_root: true
  json.overwrite_keys: true
  json.add_error_key: true
  json.expand_keys: true

processors:
- add_host_metadata: ~
- add_cloud_metadata: ~
- add_docker_metadata: ~
- add_kubernetes_metadata: ~

确保您的应用程序记录到 stdout/stderr。
按照在 Kubernetes 上运行 Filebeat 指南。
启用基于提示的自动发现（在 filebeat-kubernetes.yaml 中取消对相应部分的注释）。
将这些注释添加到使用 ECS 日志记录器的 pod 中。这将确保日志被正确解析。

annotations:
  co.elastic.logs/json.overwrite_keys: true 
  co.elastic.logs/json.add_error_key: true 
  co.elastic.logs/json.expand_keys: true

	来自解码 JSON 对象的值会覆盖 Filebeat 通常添加的字段（类型、源、偏移量等），以防发生冲突。
	Filebeat 在发生 JSON 反序列化错误的情况下添加一个“error.message”和“error.type: json”键。
	Filebeat 将递归地取消解码 JSON 中的点分隔键，并将它们扩展为分层对象结构。

确保您的应用程序记录到 stdout/stderr。
按照在 Docker 上运行 Filebeat 指南。
启用基于提示的自动发现.
将这些标签添加到使用 ECS 日志记录器的容器中。这将确保日志被正确解析。

docker-compose.yml。

labels:
  co.elastic.logs/json.overwrite_keys: true 
  co.elastic.logs/json.add_error_key: true 
  co.elastic.logs/json.expand_keys: true

	来自解码 JSON 对象的值会覆盖 Filebeat 通常添加的字段（类型、源、偏移量等），以防发生冲突。
	Filebeat 在发生 JSON 反序列化错误的情况下添加一个“error.message”和“error.type: json”键。
	Filebeat 将递归地取消解码 JSON 中的点分隔键，并将它们扩展为分层对象结构。

有关更多信息，请参阅 Filebeat 参考.

« 简介